SSL/TLS



 ◆ SSL/TLSとは

 SSL(Secure Sockets Layer)は、インターネット上で
データを暗号化して送受信するプロトコルです。
 TLS(Transport Layer Security)は、SSLの後継プロトコルであり、SSLをもとに標準化させています。
 現在ではTLSが使用されていますが、SSLの名称が広く使用されていたこともあり、TLSのことをSSLと
 呼んだり、TLSのことをSSL/TLSと表記する場合があります。SSL/TLSの主な機能は以下の3つあります。

SSL/TLSの主な機能 説明
通信の暗号化

 通信を暗号化させることで、データの盗聴を防ぐことができる。

改ざんの検出

 データと計算したメッセージダイジェストを送ることでデータの改ざんを防ぐことができる。

通信相手の認証

 デジタル証明書を使用することで、サーバの身元を特定できてなりますしを防ぐことができる。




 ◆ SSL/TLSバージョン

 現在の最新バージョンはTLS1.3です。SSLとTLSのバージョン、リリース年、脆弱性は以下の通りです。

SSL/TLSバージョン リリース年 脆弱性の問題、推奨、非推奨
SSL 1.0 -

 リリース前に脆弱性が発見されたため公開されなかった。

SSL 2.0 1994年

 多くの脆弱性が発見されたため、Webブラウザでデフォルトで無効化された。

SSL 3.0 1995年

 2014年に重大な脆弱性であるPOODLEが発見されたため、非推奨バージョンとなる。

TLS 1.0 1999年  2021年3月、RFC8996によりTLS 1.0を使用しないことが呼びかけられる。
TLS 1.1 2006年  2021年3月、RFC8996によりTLS 1.1を使用しないことが呼びかけられる。
TLS 1.2 2008年  推奨。ハッシュアルゴリズムにSHA-256追加。GCM、CCMのcipher suiteが利用可。
TLS 1.3 2018年  最も推奨。forward secrecyではない・認証付き暗号ではない cipher suite の廃止。


 ◆ HTTPSとは

 HTTPS(Hypertext Transfer Protocol Secure)は、HTTP通信をより安全に行うためのプロトコルです。
 正確には、
SSL/TLSプロトコルにより提供されるセキュアな接続の上でHTTP通信をすることをHTTPS
 呼んでおり、厳密にはHTTPS自体はプロトコルではありません。

 HTTPS通信をしている時、Webブラウザでは下図の通り「
https://〜」のURLとなっており、左側には
 錠前マークが表示されます。Webブラウザによって「https://」が省略されて錠前だけの場合があります。

 

 現在このWebサイトを読んでいるということは、みなさんのWebブラウザと当方のWebサーバとの間で
 SSL/TLSプロトコルを使用してセキュアなHTTP通信(つまりHTTPS通信)をしていることを意味します。




 ◆ HTTPS通信:WebブラウザとWebサーバ間の暗号化通信

 WebブラウザとWebサーバとでHTTPS通信を実現させるために、Webブラウザ側は標準SSL/TLS通信を
 サポートしていることから何も事前準備は必要ありません。一方、Webサーバ側ではSSL/TLS通信を実現
 させるために、例えばApacheに
OpenSSLのソフトウェアを連携させ使用する構成にする必要があります。


  


 ◆ HTTPS通信:SSL/TLSの機能

 HTTPS通信により、通信の暗号化によりデータの盗聴を防ぎ、データの改ざんも防ぎ、デジタル証明書を
 使用してなりますしを防ぐことができることから、インターネット上でも安心して安全に通信が行えます。


   




サーバ技術をはじめから

ネットワークエンジニアとして

Copyright (C) 2002-2021 ネットワークエンジニアとして All Rights Reserved.