SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、インターネット上でデータを安全に送受信するためのプロトコルです。
SSLはもともとNetscapeによって開発され、その後、より安全なTLSに進化しました。TLSは事実上のインターネット標準であり、SSLの後継と見なされています。
SSL / TLS の主な目的:
- 暗号化: 通信を暗号化することで、ユーザーとサーバー間のデータが第三者によって読み取られることを防ぎます。
- 認証: サーバー(または場合によってはクライアントも)が正しいものであると証明するための手段を提供します。
- データ完全性: データが送信中に改ざんされていないことを保証します。
SSL / TLS の動作:
- ハンドシェイク: SSL/TLSセッションの開始時には、クライアントとサーバー間で「ハンドシェイク」が行われます。この過程で、使用する暗号化アルゴリズム(サイファースイート)が決定され、サーバーは証明書をクライアントに提供して身元を証明します。
- 証明書の検証: クライアントはサーバーから受け取った証明書を検証します。これは通常、信頼できる第三者機関(認証局、CA)によって発行された証明書を用いて行われます。
- 暗号化された通信: ハンドシェイクが完了すると、クライアントとサーバーは共有秘密キー(セッションキー)を生成し、このキーを使ってセッション中のデータを暗号化します。
SSL と TLS の違い:
- バージョン: SSLにはバージョン1.0、2.0、3.0がありますが、安全性の問題から、現在では使用されていません。TLSはSSLの後継として開発され、TLS 1.0はSSL 3.0の直接の後継として位置づけられています。
- セキュリティ: TLSはSSLよりも多くのセキュリティ強化が施されており、新しいバージョンのTLSは旧バージョンよりも改善されています。
- 改善点: TLSでは、セキュリティの強化だけでなく、速度と効率も改善されています。
現在の使用:
- 一般的な用語として「SSL」という言葉は依然として広く使われていますが、現在のセキュリティ標準はTLSです。
- 現在はTLS 1.2とTLS 1.3が広く使われており、特にTLS 1.3はパフォーマンスとセキュリティの両面で大幅な改善が図られています。
- ウェブサイトがHTTPSプロトコルを使用している場合、その通信はTLSによって保護されています。
SSL/TLSはインターネット上の安全な通信を確保するための基礎的な要素であり、オンラインバンキング、電子商取引、データのプライバシーを必要とするその他の多くのアプリケーションで不可欠です。