SSL 【Secure Sockets Layer】 SSL/TLS
SSLとは、インターネットなどのIPネットワークでデータを暗号化して送受信するプロトコル(通信手順)の一つ。データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、改竄などを防ぐことができる。
SSLは公開鍵暗号を応用したデジタル証明書による通信相手の認証(一般的にはサーバの認証)と、共通鍵暗号(秘密鍵暗号)による通信の暗号化、ハッシュ関数による改竄検知などの機能を提供する。Webアクセスに使われるHTTPと組み合わせ、Webサイトで認証情報や個人情報、決済情報などの送受信を安全に行う手段として広く普及している。
認証局と証明書
SSLでは公開鍵暗号により通信相手の確認や通信の暗号化に用いる暗号鍵の交換を行うが、そのためには相手方(クライアント側ソフトウェアにとってサーバ側)の公開鍵をすり替えや改竄ができない方法で入手する必要がある。
SSLを利用するクライアント(Webブラウザなど)が、アクセス先のすべてのサーバの公開鍵を個別に安全に入手することは現実的ではないため、信頼できる「認証局」(CA:Certificate Authority)と呼ばれる機関が発行したデジタル証明書によって公開鍵の受け渡しを行う。
Webブラウザなどには著名な大手CAのルート証明書があらかじめ格納されており、サーバから送られてきた証明書を検証することにより、途中ですり替えや改竄が行われていないことを確認することができる。
サーバ側ではSSLに対応するために大手CAやその認証を受けた下位CAの発行(通常は販売)する証明書を導入する必要がある。仕組みの上ではCAなど外部機関の認証を受けず自らが発行した証明書を使うこともできるが、クライアント側では「発行元の検証ができない」警告メッセージが表示される。
プロトコルとポート番号
SSLはプロトコル階層ではIP(Internet Protocol)の一段階上位で、TCPやUDPと同じトランスポート層のプロトコルである。TCPの代替として利用することができるため、HTTPに限らず様々な上位層(アプリケーション層)のプロトコルと組み合わせて使用され、インターネットにおける汎用的な通信の暗号化方式として定着している。
組み合わせるプロトコル応じて「○○ over SSL」(○○S)という名称で呼ばれ、HTTPであれば「HTTPS」、SMTPであれば「SMTPS」、POP3であれば「POP3S」などと呼ばれる。これらは元のプロトコルとは別に標準のポート番号が与えられており、HTTPは標準ではTCPの80番を使用するが、HTTPSは443番を使う。同様にSMTPSは465番(SMTPは25番)、POP3Sは995番(POP3は110番)が割り当てられている。
SSLとTLS
初期のSSLの仕様は1990年代半ばに当時のWebブラウザ大手、米ネットスケープ・コミュニケーションズ(Netscape Communications)社が開発した。SSL 1.0は欠陥が見つかったため公式発表前に破棄され、最初に公開されたのは1994年のSSL 2.0である。翌1995年にSSL 3.0が発表された。これらは現在では深刻な脆弱性が発見されており、利用を中止して後継版へ移行することが推奨されている。
SSL 3.0の次のバージョンから名称が「TLS」(Transport Layer Security)に変更されたため、現在広く利用されているのは正確にはTLSの方だが、SSLという名称が既に広く定着していたため、実際にはTLSを指していてもSSLと表記したり、「SSL/TLS」「TLS/SSL」などと両者を併記することが多い。
常時SSL (AOSSL:Always On SSL)
WebサイトのすべてのページをSSLで暗号化して送受信することを「常時SSL」(AOSSL:Always On SSL)という。サイト内のすべてのページのURLが「//」で始まるようになる。
Web通信の暗号化はこれまで、IDやパスワード、個人情報、決済情報など、覗き見や改竄による直接的な被害が懸念される秘密の情報のやり取りを行うページのみに施すのが一般的だったが、常時SSLでは単に閲覧するだけのページや検索機能なども含め、そのサイトと閲覧者の間のすべての通信をSSLで保護する。
背景には、一部のページのみを暗号化したサイトで、不適切な設定などにより暗号化されていないページヘのアクセス情報を覗き見てアカウント乗っ取りなどの攻撃を受ける危険性が指摘されていることや、通常のページ閲覧や検索などの行動履歴も個人に属する情報として保護すべきであるとする考え方の広まりなどがある。
SSL接続されたサイトは運営主体の証明書情報がWebブラウザに表示されるため、金融機関などのサイトが常時SSL化すればフィッシング詐欺などの抑止に繋がるとも期待されている。近年ネットサービス大手が相次いで自社サイト・サービスを常時SSL化していることや、検索エンジン大手の米グーグル(Google)社が検索結果のランキングを決定する評価指標の一つとしてSSL/TLS対応度を採用すると表明したため、多くのサイトが常時SSL化への対応を急いでいる。
共有SSL (shared SSL)
レンタルサーバ(ホスティングサービス)の付加サービスの一つで、ホスティング事業者が所有するSSL証明書を顧客がレンタルしたサーバで利用することができるサービスを共有SSLという。
サーバの利用者は独自に認証局から証明書を購入することなく、SSLによる暗号化通信を利用することができる。多くのホスティング事業者は無料もしくは安価なオプションとして共有SSLを提供している。
ただし、Webブラウザなどで証明書の所有者として表示されるのはホスティング事業者となり、サーバ利用者の実在証明などには使えない。事業者によっては、事業者の所有するドメインのサブドメインでしか運用できないなどの制約がある場合もある。