SSL/TLSとは、インターネット上の通信を暗号化し、通信内容の盗み見や改ざんを防ぐ技術のことで、普段Webサイトを利用する中で当たり前に使われている基本的な技術になります。
この記事では、SSL/TLSの違い、仕組み、役割を初心者の方にもわかりやすく解説していきます。
SSL/TLSとは?
SSL/TLSとは、「Secure Sockets Layer/Transport Layer Security」の略称で、インターネット上の通信を暗号化し、通信内容の盗み見や改ざんを防ぐ技術のことです。例えばWeb上でショッピングをする際などに、住所やクレジットカード情報などを入力して送信しますが、これがそのままインターネット上に流れてしまうと、第三者に情報を盗まれ不正利用されてしまう可能性があり非常に危険です。そんな情報漏えいを防ぐために用いられるのがSSL/TLSという暗号化技術です。
実際にSSl/TLSが用いられているWebサイトかどうかは、「http」の後にsが付いているか(https://)どうか、そしてURLの最初に鍵マークが付いているかどうかですぐにわかります。
もちろんこのWebサイトもご覧の通り暗号化がされています。
SSLとTLSの違いとは?
SSL/TLSと呼ばれることが多いですが、SSLとTLSは何が違うのでしょうか。結論から言うと、「機能はほぼ同じ」です。ウェブサイトが普及した際に暗号化技術であるSSLが広まり、「SSL1.0」から「SSL2.0」、「SSL3.0」とバージョンアップがされてきましたが、その後重大な脆弱性が見つかり、設計を大幅に見直した「TLS1.0」がリリースされました。そのため、現在利用されているのはほとんどTLSなのですが、暗号化といえばSSLという名称で広まっているため、SL/TLSという名称が使われるようになりました。
SSL/TLSの仕組みとは?
SSL/TLSは以下のような処理の流れになります。
※受信側:サーバー側、送信側:ユーザー側
①受信側から送信側に「公開鍵」と「SSLサーバー証明書」を送付
まずWebサイト側から「この鍵で鍵をかけてデータを送ってきてね」とユーザー側に公開鍵とSSLを利用するための証明書を送ります。
②送信側は公開鍵を用いて共通鍵を暗号化して受信側に送付
③受信側は、共通鍵を秘密鍵で復号
秘密鍵とは、公開鍵とペアの、復号(=鍵を外す)専用の鍵です。
この①〜③で鍵を交換することで、データを暗号化するための準備を整えます。
⑤受信側と送信側両方に共有された共通鍵を用いてデータを暗号化して通信を行う
SSL証明書とは?
処理の流れの①で出てきたSSL証明書は、送られてくる鍵が正しいものなのかを判断するために、受信側から送信側に送られるものです。このSSL証明書はサーバー側で勝手に作っていいわけではなく、認証局(CA= Certification Authority)に申請をして取得しなければならず、費用もかかります。
SSL/TLSの役割とは?
①データの盗聴を防ぐ
一つ目が、データの盗聴を防ぐことです。SSL/TLSの仕組みのところで説明した通り、SSL/TLSで通信を行う際は、共通鍵を用いてデータが暗号化されます。そのため、仮にインターネット上で通信を盗聴されたとしても、鍵を持っていないのでデータの中身を見られることはありません。
②データの改ざんを防ぐ
二つ目が、データの改ざんを防ぐことです。例えばネットショッピングのサイトを買い物をする場合に、横からデータを改ざんされ、住所や注文数を変えられたら一大事ですが、通信が暗号化されているのでその心配もありません。
③なりすましを防ぐ
三つ目が、なりすましを防ぐことです。先ほども説明した通り、SSL/TLSの通信では、データを送信する前にサーバー側からSSL証明書を送付する仕組みになっています。この過程により、今アクセスしているサイトが認証局から認可を得た正当なWebサイトであることを確認することができます。
これにより、例えばネットショッピングのサイトの運営者を偽り、ユーザーから不正に個人情報を聞き出されるといったリスクを回避することができます。
おわりに
いかがだったでしょうか。普段私たちが何気なくWebサイト上で個人情報を打ち込んでいる裏には、このようなSSL/TLSの仕組みがあります。仕組みや役割をしっかり理解しておきましょう。
コメント