こんにちは、村田です。

2015年5月26日に Nginx 1.9.1 がリリースされました。
今回のリリースでSSLv3プロトコルがデフォルトでDisabled に変更されています。

SSLv3といえば脆弱性問題「POODLE」でpadding oracle side-channel 攻撃を行うことで暗号文を解読出来てしまうという問題が公開され話題にも上がりました。この時の対処方法として SSLv3 を使わずに TLSv1.1 または TLSv1.2 を利用することが推奨されていました。

【参考】httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
https://access.redhat.com/ja/node/1232613

今回の変更は機能面での大きな変更ではありませんが、セキュリティ面を配慮したデフォルト設定変更と言えます。

* nginx.org には詳細が公開されておりませんが、NGINX Plus を展開する Nginx inc. のBlog では、「Socket Sharding in NGINX Release 1.9.1」という記事がポストされており、Socket Sharding が使えるようになりそうです。詳細は別途ブログ記事でお知らせします。

Nginx CHANGES より nginx 1.9.1 の主な変更点を下記に日本語参考訳とともにまとめました。

nginx 1.9.1 の変更点（参考訳）

• SSLv3 プロトコルはデフォルトで Disabled に変更
• いくつかの非推奨の長いディレクティブはサポートされません
• 「listen」ディレクティブに “reuseport” パラメーターを追加
• $upstream_connect_time 変数を追加
•  big-endian プラットフォーム上の 「hash」ディレクティブの Bug を修正
• nginxは、いくつかの古く特異な Linux 上で起動に失敗することがあります。
  この Bug は1.7.11 以降に含まれます。
• IPアドレスの解析に関わる Bug を修正

Nginx CHANGES 原文は下記となります。

    *) Change: now SSLv3 protocol is disabled by default.

    *) Change: some long deprecated directives are not supported anymore.

    *) Feature: the "reuseport" parameter of the "listen" directive.
       Thanks to Sepherosa Ziehau and Yingqi Lu.

    *) Feature: the $upstream_connect_time variable.

    *) Bugfix: in the "hash" directive on big-endian platforms.

    *) Bugfix: nginx might fail to start on some old Linux variants; the bug
       had appeared in 1.7.11.

    *) Bugfix: in IP address parsing.
       Thanks to Sergey Polovko.

Changes with nginx 1.9.1