表題のバージョンをリリースしました。

主な変更点として

１）SSL/TLS 通信に SSL3 / TLS1.0 / TLS1.1 / TLS1.2 を選択できるようにしました。

２）SSL/TLS 通信で RC4 ストリーム暗号を無効にできるオプションを追加しました。（対応できる OS が限定されています）

さて、先日 SSL/TLS 通信で FREAK問題が発表されて、確認をされているサーバー管理者様も多いかと思います。

ここでちょっと簡単におさらいをしたいと思います。
（詳しくは IT関係のサイトの方が詳しいでしょう。）

さて、Windows 以外の OS の場合、SSL/TLS 通信は、schannel というライブラリで行われています。
Windows にもありますが、Windows 以外の場合は OpenSSL が有名ですね。

話題になっているのは、OpenSSL の CVE-2015-0204 という問題でして、SSL/TLS 通信に介入して、弱い暗号で通信するように仕組んで解析しやすいデータにして、解読したり改竄したりする問題です。

OpenSSL の問題だから、Windows Server は関係ないんじゃないの？と思っていたのですが、どうやら schannel にも同様の問題（限定的ながら）があったようです。

限定的というのは、Windows Server にも、鍵長が短いのがインストールされていますが、Windows Server の場合はデフォルトで無効に設定されているらしいです。
（Windows Server のお話で Windows7 とかのクライアント側はそうじゃないかもしれないです）

PMail Server2 は Windows Server で動かして欲しいのですが、Windows7 とかでも動いてしまうので、その場合は関係が出てくるかもしれません。

（それと別なのか、それとも同一の問題なのかがはっきりしませんが、schannel 自体にセキュリティ機能を迂回する脆弱性(セキュリティアドバイザ 3046015)が見つかったということで、OpenSSL じゃないよ、schannel だから OK とか、Windows Server だから OK って訳ではないようです）

私も ITMedia とか ZDNet を見て書いているだけなので詳しくはありませんが・・・

話は戻しまして、上記の問題が出てきましたので、PMail Server2 は従来 SSL3/TLS1.0 (SSL2 は元から非対応）でしたが、少々手を入れまして、追加で TLS1.1 と TLS1.2 を選択できるようにしまして、それとついでに、脆弱性が見つかっている RC4 ストリーム暗号を無効にするオプション（ただし、KB2868725 がインストールされている必要があります）を追加しました。

TLS1.2 が現在最も安全なプロトコルですので、全てのクライアントが TLS1.2 に対応しているのであれば、SSL3 / TLS1.0 / TLS1.1 は off にして TLS1.2 のみにすると安全になります。

あとついでですが、Windows にインストールされている、ciphers suite（暗号化のリスト）を確認したいと思ったのですが、あちこちのサイトを見たのですが、どうやらレジストリを直接参照しないと見れないようです。

「そんな訳あるか！」と思って調べた所、BCryptEnumContextFunctions() という bcrypt API を使えば取得できるようなので、１本コマンドラインツールを作ってみました。（フリーソフトのライブラリにある、windows ciphers viewer 0.01 というソフトがそうです）



実行すると、上記のような感じで現在利用できる ciphers suite を確認することができます（多分）

最近の Windows であれば、利用できますが、bcrypt 自体が Windows Vista 以降の機能ですので、Vista 以降で無いと利用はできないと思います。

もしリストの中に 128 とか 256 と書いてあるのが鍵の長さです。
もし 40 とか 58 などがあると、それは短い鍵なので、ちょっとまずいことになるかもしれません。
（しかし、こういうツールって Windows XP とかの古い OS で動かないと余り意味が無いんですよね・・・）