SSLとは?| SSLの定義

Secure Sockets Layer(SSL)は、インターネット通信にプライバシー、認証、および整合性を提供するセキュリティプロトコルです。SSLは最終的にTransport Layer Security(TLS)に進化しました。

Share facebook icon linkedin icon twitter icon email icon

SSL

学習目的

この記事を読み終えると、以下のことができます。

  • SSLを定義する
  • SSLとTLSの違いについて理解する
  • SSL証明書について理解する

SSLとは?

SSL(Secure Sockets Layer)は、暗号化ベースのインターネットセキュリティプロトコルです。インターネット通信でプライバシー、認証、およびデータの整合性を確保する目的で、1995年にNetscapeによって最初に開発されました。SSLは、今日使用されている最新のTLS暗号化の前身です。

SSL/TLSを実装しているWebサイトでは、URLに「HTTP」ではなく「HTTPS」と表示されます。

HTTPとHTTPS

SSL /TLSの仕組みは?

  • 高度なプライバシーを確保するために、SSLはWebを介して送信されるデータを暗号化します。つまり、そうしたデータの傍受を試みた場合、傍受者にはほぼ解読不能な文字化けした文字列にしか見えません。
  • SSLは、通信している2つのデバイスの間でハンドシェイクと呼ばれる認証プロセスを開始して、両方のデバイスが真に意図したデバイスであるかの検証を行います。
  • SSLはまた、データにデジタル署名して、データの整合性を提供します。これによって、データが意図した受信者に到達する前に改ざんされていないことを確認します。

SSLは何回か更新されていて、その都度、前回よりもセキュアなものになっています。1999年に、SSLはTLSに更新されました。

SSL/TLSが重要な理由

もともと、Web上のデータは平文で送信され、メッセージを傍受すれば誰もが読み取れるものでした。たとえば、ある消費者がショッピングWebサイトを訪問し、注文を行い、Webサイトでクレジットカード番号を入力した場合、そのクレジットカード番号は隠されることなくインターネット上を移動します。

SSLは、この問題を解決し、ユーザーのプライバシーを保護するために作られました。SSLで、ユーザーとWebサーバー間のデータを暗号化することにより、データの傍受者がスクランブルをかけられたランダムな文字列しか見ることができないようにするのです。消費者のクレジットカード番号は安全になり、入力されたショッピングサイトにのみ可視化されます。

SSLはまた、特定の種類のサイバー攻撃を停止します。SSLではWebサーバーを認証しますが、これは、攻撃者がユーザーを騙してデータを盗むために偽のWebサイトを設定しようとするため、重要なことです。SSLは送信中のデータの改ざんも防止します。医薬品の瓶についている改ざん防止フィルムのような役割を担っているのです。

SSLとTLSは同じものなのか?

SSLは、TLS(Transport Layer Security)と呼ばれる別のプロトコルの直接の前身です。1999年、インターネット技術特別調査委員会(IETF)はSSLの更新を提案しました。この更新はIETFによって開発されており、Netscapeは関与しなくなったため、名前はTLSに変更されました。SSLの最終バージョン(3.0)とTLSの最初のバージョンの違いはそれほど大きくありません。名前の変更は所有権の変更を示すために適用されました。

SSLとTLSは非常に密接に関連しているため、2つの用語はしばしば同じ意味で使用され、混同されます。SSLの知名度がまだ高いため、SSLをTLSの意味で使用する人もいれば、「SSL/TLS暗号化」という用語を使用する人もいます。

SSLはまだ最新ですか?

1996年のSSL 3.0以降、SSLは更新されておらず、非推奨となっています。SSLプロトコルには既知の脆弱性がいくつかあり、セキュリティの専門家はSSLの使用中止を勧告しています。実際、最近のほとんどのWebブラウザはSSLをまったくサポートしていません。

TLSは、多くの人がまだ「SSL暗号化」と呼んでいますが、オンラインで実装されている最新の暗号化プロトコルです。これは、セキュリティソリューションを購入しようとする人にとって混乱の原因となります。実際のところ、最近「SSL」を提供しているベンダーはほぼ確実にTLS保護を提供しており、これは20年にわたって業界標準でした。しかし、多くの人がまだ「SSL保護」を探しているため、この用語は多くの製品ページで引き続き大きく取り上げられています。

SSL証明書とは?

SSLは、SSL証明書 (技術的には「TLS証明書」)を持つWebサイトでのみ実装可能です。SSL証明書は、何者かを証明するIDカードやバッジのようなものです。SSL証明書は、Webサイトまたはアプリケーションサーバーによって、Web上に保存、表示されます。

SSL証明書の最も重要な情報の1つは、Webサイトのパブリックキーです。パブリックキーで暗号化が可能になります。ユーザーのデバイスはパブリックキーを確認し、それを使用してWebサーバーとの安全な暗号化キーを確立します。一方、Webサーバーには、秘密になっているプライベートキーもあります。プライベートキーは、パブリックキーで暗号化されたデータを復号化します。

SSL証明書の発行は、認証局(CA)が担当します。

SSL証明書にはどのような種類がありますか?

SSL証明書にはいくつかの種類があります。1つの証明書は、種類に応じて1つのWebサイトまたは複数のWebサイトに適用できます:

  • 単一ドメイン: 単一ドメインSSL証明書は、1つのドメインにのみ適用されます (「ドメイン」とは、www.cloudflare.com のようなWebサイトの名前です)。
  • ワイルドカード: 単一ドメイン証明書と同様に、ワイルドカードSSL証明書は1つのドメインにのみ適用されます。ただし、そのドメインのサブドメインも含まれます。たとえば、ワイルドカード証明書ではwww.cloudflare.com、blog.cloudflare.com、developers.cloudflare.com、をカバーできますが、単一ドメイン証明書では、一番最初しかカバーできません。
  • マルチドメイン:マルチドメインSSL証明書は、その名の通り、複数の無関係なドメインに適用できます。

SSL証明書には、さまざまな検証レベルがあります。検証レベルはバックグラウンドチェックのようなものであり、チェックの徹底度に応じてレベルが変わります。

  • ドメイン認証: これは最も厳格度が低い検証レベルで、値段も最安値です。企業がすべきことは、ドメインを制御していることを証明するだけです。
  • 組織認証(企業実在認証): これはより実践的なプロセスです。CAは、証明書を要求している個人または企業に直接連絡します。これらの証明書は、ユーザーにとってより信頼できるものです。
  • EV認証(拡張認証): SSL証明書を発行する前に、組織の完全なバックグラウンドチェックが必要です。

企業はどのようにSSL証明書を取得できますか?

Cloudflareは、企業のために無料のSSL証明書 を提供しています。Cloudflareで保護されたWebサイトは、数回のクリックでSSLを有効化することができます。Webサイトによっては、配信元サーバーでもSSL証明書を設定する必要があるかもしれません。この記事 ではさらに詳しい手順が説明されています。

SSL/TLSの詳細

SSL/TLS暗号化の仕組みの詳細については、TLSとは?を参照してください。Cloudflare Diagnostic Centerを使用して、WebサイトがSSL/TLS暗号化を適切に実装しているかどうかを確認できます。