<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<div>
<div id="x_compose-container" itemscope="" itemtype="https://schema.org/EmailMessage">
<span itemprop="creator" itemscope="" itemtype="https://schema.org/Organization"><span itemprop="name"></span></span>
<div>
<div>I wonder if "weak key" should be replaced by "weak key length" or "short key". It might otherwise imply key quality tests which are not carried out.<br>
<br>
<div class="x_acompli_signature">Gruss<br>
Bernd<br>
-- <br>
<a dir="ltr" href="http://bernd.eckenfels.net">http://bernd.eckenfels.net</a></div>
<br>
</div>
</div>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="x_divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> security-dev <security-dev-bounces@openjdk.java.net> on behalf of Weijun Wang <weijun.wang@oracle.com><br>
<b>Sent:</b> Friday, March 24, 2017 2:12:01 AM<br>
<b>To:</b> Security Dev OpenJDK<br>
<b>Subject:</b> RFR: 3 security-libs release notes on keytool/krb5/etc</font>
<div> </div>
</div>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">Hi All<br>
<br>
Please take a review on 3 release notes. The content itself is pasted as <br>
quotation below.<br>
<br>
<a href="https://bugs.openjdk.java.net/browse/JDK-8176087">https://bugs.openjdk.java.net/browse/JDK-8176087</a><br>
keytool now prints warnings when reading or generating cert/cert req<br>
using weak algorithms<br>
<br>
> In all keytool functions, if the certificate/certificate request/CRL<br>
> that is working on (whether it be the input, the output, or an<br>
> existing object) is using a weak algorithm or key, a warning will be<br>
> printed out.<br>
><br>
> Precisely, an algorithm or a key is weak if it matches the value of<br>
> the jdk.certpath.disabledAlgorithms security property defined in<br>
> conf/security/java.security.<br>
<br>
<a href="https://bugs.openjdk.java.net/browse/JDK-8174143">https://bugs.openjdk.java.net/browse/JDK-8174143</a><br>
Deprecate security APIs that have been superseded<br>
<br>
> The classes and interfaces in the `java.security.acl` and<br>
> `javax.security.cert` packages have been superseded by replacements<br>
> for a long time and are deprecated in JDK 9. Two methods<br>
> `javax.net.ssl.HandshakeCompletedEvent.getPeerCertificateChain()` and<br>
> `javax.net.ssl.SSLSession.getPeerCertificateChain()` are also<br>
> deprecated since they return the<br>
> `javax.security.cert.X509Certificate` type.<br>
<br>
<a href="https://bugs.openjdk.java.net/browse/JDK-8168635">https://bugs.openjdk.java.net/browse/JDK-8168635</a><br>
rcache interop with krb5-1.15<br>
<br>
> The hash algorithm used in the Kerberos 5 replay cache file (rcache)<br>
> is updated from MD5 to SHA256 with this change. This is also the<br>
> algorithm used by MIT krb5-1.15. This change is interoperable with<br>
> earlier releases of MIT krb5, which means Kerberos 5 acceptors from<br>
> JDK 9 and MIT krb5-1.14 can share the same rcache file.<br>
><br>
> A new system property named jdk.krb5.rcache.useMD5 is introduced. If<br>
> the system property is set to "true", JDK 9 will still use the MD5<br>
> hash algorithm in rcache. This is useful when both of the following<br>
> conditions are true: 1) the system has a very coarse clock and has to<br>
> depend on hash values in replay attack detection, and 2)<br>
> interoperability with earlier versions of JDK or MIT krb5 for rcache<br>
> files is required. The default value of this system property is<br>
> "false".<br>
<br>
Thanks<br>
Max<br>
<br>
<br>
<br>
</div>
</span></font>
</body>
</html>