|
◆ SSL/TLSとは
SSL(Secure Sockets Layer)は、インターネット上でデータを暗号化して送受信するプロトコルです。
TLS(Transport Layer Security)は、SSLの後継プロトコルであり、SSLをもとに標準化させています。
現在ではTLSが使用されていますが、SSLの名称が広く使用されていたこともあり、TLSのことをSSLと
呼んだり、TLSのことをSSL/TLSと表記する場合があります。SSL/TLSの主な機能は以下の3つあります。
| SSL/TLSの主な機能 |
説明 |
| 通信の暗号化 |
通信を暗号化させることで、データの盗聴を防ぐことができる。
|
| 改ざんの検出 |
データと計算したメッセージダイジェストを送ることでデータの改ざんを防ぐことができる。
|
| 通信相手の認証 |
デジタル証明書を使用することで、サーバの身元を特定できてなりますしを防ぐことができる。
|
◆ SSL/TLSバージョン
現在の最新バージョンはTLS1.3です。SSLとTLSのバージョン、リリース年、脆弱性は以下の通りです。
| SSL/TLSバージョン |
リリース年 |
脆弱性の問題、推奨、非推奨 |
| SSL 1.0 |
- |
リリース前に脆弱性が発見されたため公開されなかった。
|
| SSL 2.0 |
1994年 |
多くの脆弱性が発見されたため、Webブラウザでデフォルトで無効化された。
|
| SSL 3.0 |
1995年 |
2014年に重大な脆弱性であるPOODLEが発見されたため、非推奨バージョンとなる。
|
| TLS 1.0 |
1999年 |
2021年3月、RFC8996によりTLS 1.0を使用しないことが呼びかけられる。 |
| TLS 1.1 |
2006年 |
2021年3月、RFC8996によりTLS 1.1を使用しないことが呼びかけられる。 |
| TLS 1.2 |
2008年 |
推奨。ハッシュアルゴリズムにSHA-256追加。GCM、CCMのcipher suiteが利用可。 |
| TLS 1.3 |
2018年 |
最も推奨。forward secrecyではない・認証付き暗号ではない cipher suite の廃止。 |
◆ HTTPSとは
HTTPS(Hypertext Transfer Protocol Secure)は、HTTP通信をより安全に行うためのプロトコルです。
正確には、SSL/TLSプロトコルにより提供されるセキュアな接続の上でHTTP通信をすることをHTTPSと
呼んでおり、厳密にはHTTPS自体はプロトコルではありません。
HTTPS通信をしている時、Webブラウザでは下図の通り「 https://〜」のURLとなっており、左側には
錠前マークが表示されます。Webブラウザによって「https://」が省略されて錠前だけの場合があります。
現在このWebサイトを読んでいるということは、みなさんのWebブラウザと当方のWebサーバとの間で
SSL/TLSプロトコルを使用してセキュアなHTTP通信(つまりHTTPS通信)をしていることを意味します。
◆ HTTPS通信:WebブラウザとWebサーバ間の暗号化通信
WebブラウザとWebサーバとでHTTPS通信を実現させるために、Webブラウザ側は標準SSL/TLS通信を
サポートしていることから何も事前準備は必要ありません。一方、Webサーバ側ではSSL/TLS通信を実現
させるために、例えばApacheにOpenSSLのソフトウェアを連携させ使用する構成にする必要があります。
◆ HTTPS通信:SSL/TLSの機能
HTTPS通信により、通信の暗号化によりデータの盗聴を防ぎ、データの改ざんも防ぎ、デジタル証明書を
使用してなりますしを防ぐことができることから、インターネット上でも安心して安全に通信が行えます。
|