SSL/TLSとは
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)
インターネット上の通信を暗号化する技術。
第三者の盗聴や改ざんを防止し、ウェブサイトから入力する個人情報や
クレジットカード情報などのデータを安全にやりとりできる。
TLSはSSLの次世代バージョン。
SSLは仕様上の脆弱性が存在するためTLSに移行している。
現行のバージョンはTLS1.3
主なプロトコル
https 443 htttp 80
smtps 465 smtp 25
SSLサーバ証明書
情報を暗号化するSSLの機能に加え、ウェブサイトを運営する会社の身元を確認できる機能を備えた電子証明書。
一般的にSSLの呼称が広く普及しているため「TLSサーバ証明書」ではなくSSLサーバ証明書と呼ばれることが多い。
暗号化の仕組み
①SSL/TLSを導入するサーバで「公開鍵」と「秘密鍵」を生成。
②SSLサーバ証明書に「公開鍵」を添付。
③ウェブサイト訪問者のPCにサーバから「SSLサーバ証明書」を送信。
④PCは「SSLサーバ証明書」に問題ないことを確認。
⑤PCは「SSLサーバ証明書」に含まれる「公開鍵」を利用して自分の「共通鍵」を暗号化してサーバに送信。
⑥サーバは「秘密鍵」を使って「共通鍵」を解読。
⑦以降、PCとサーバは「共通鍵」を使って通信。
※SSLサーバ証明書に問題がないかの確認。
・正しい認証極から発行されているか
・今通信しているサーバが、証明書に記載されているサーバと一致しているか
※SSLサーバ証明書には有効期限があり、期限切れの場合は警告画面が表示される。
※秘密鍵の漏洩などで証明書が失効された場合も警告画面が表示される。
SSLサーバ証明書の種類
ドメイン認証(DV:Domain Validation)
ドメインに登録されている登録者を確認することにより、発行される。
ドメイン名が正しいかどうかを認証する。
低コスト。
実在証明型(OV:Organization Validation)
ドメインに加えWebサイトを運営している組織の実在性を証明する。
ドメイン名に加え、会社名も証明する。
サイト運営の成りすましを防止できる。
実在証明拡張型(EV:Extended Validation)
企業の実在性に加えて、所在地の認証を行う。
法的・物理的に組織の実在性を確認して発行される。
アドレスバーが緑色になり、組織情報が表示されるようになる。
中間者攻撃を防止できる。ワイルドカード証明書が利用不可。
ワイルドカード証明書:同一階層のサブドメインを1枚の証明書でまとめてSSL化できる。
通常はサブドメインの数だけ証明書が必要。
証明書の種類によって暗号化強度の違いはない。
個人情報を扱うようなサイトはOVまたはEVが最適。