SSL/TLSとは

SSLとTLSの違い

SSLとTLSの違い、2つのプロトコルが開発され発展してきた歴史、およびSSL/TLSに関する脆弱性の問題の動向について。

  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?
  5. SSLとTLSの違い

SSLとTLSの違い SSL/TLSと表記される理由

「SSL/TLS」と表記される理由は、この2つのプロトコルが開発され、発展してきた歴史にあります。

元々、Netscape Navigatorという高機能ブラウザを開発したネットスケープコミュニケーションズ社が、SSL(Secure Sockets Layer)を開発しました。SSL1.0は脆弱性が発見されたため、実装されることはありませんでしたが、改良されたSSL2.0がNetscape Navigator 1.1に実装されたことで、一般のユーザにSSLが広まりました。

SSLはバージョン3.0までが開発されましたが、1999年にはSSL3.0を元にした「TLS(Transport Layer Security)1.0」が定められました。
SSL3.0とTLS1.0は、仕様の違いもごくわずかで仕組みがほぼ同じですが、既にこの時点でSSLという名称が広く使われていたために、「SSL/TLS」「TLS/SSL」のように両者を併記する方法が使われたり、「TLSのことも含めてSSLと呼ぶ」という慣習が生まれました。

現在最新バージョンとして広く普及しているのは、2008年8月に制定されたTLS1.2ですが、既に開発から7年が経過したバージョンです。
このため、すぐにリリースされる予定ではありませんが、HTTP/2などの新しいプロトコルの登場などを背景としたTLS 1.3が提案されています。

SSL/TLS これまでの歩み

SSL 1.0 リリース前に脆弱性が発見され公開されず
SSL 2.0 1994年リリース
SSL 3.0 1995年リリース
TLS 1.0 1999年リリース
TLS 1.1 2006年リリース
TLS 1.2 2008年リリース
TLS 1.3 ドラフト策定中 ※2016年1月現在

SSL/TLSに関する脆弱性の問題

初めて開発されたSSL1.0は、リリース前に脆弱性が発見され公開に至りませんでした。
その後開発されたSSL2.0では、製品に実装された後に脆弱性が発見され、多くのウェブブラウザでSSL2.0を無効とする初期設定が行われました。

ごく最近まで広く使用されていたSSL3.0は、2014年に重大な脆弱性である「POODLE(CVE-2014-3566)」が発見されました。このため、現在ではサーバでのSSL3.0の利用は非推奨とされ、また多くの主要ブラウザでSSL3.0が無効となりました。

またPOODLE(CVE-2014-3566)においては、実装が不十分なTLS1.0/1.1の場合も、サーバとの通信において脆弱性があることが確認され、TLS1.0/1.1の利用は非推奨となっております。

この他、2014年・2015年に発覚したOpenSSLの脆弱性「Heartbleed」「FREAK」など、場合によってはOpenSSLのアップグレードやSSLサーバ証明書の入れ替えが必要になるケースもありました。

SSL/TLS通信を行なっていても「絶対にデータが漏えいしない」とは言えない場合があります。
SSL/TLSの脆弱性についての最新情報の収集や、SSLサーバ証明書の設定状況の確認や安全性の診断などが無料で行える診断ツール「SSL Server Test」を積極的に活用いただき、常に「できるだけ安全性の高い通信を行う」「万が一のデータ漏えい、改ざんなどに備える」ということを、心がける必要があります。

Heartbleed(2014年4月) OpenSSLの暗号ソフトウェアライブラリ上で発見された脆弱性
POODLE(2014年10月) SSL3.0と一部のTLS1.0/1.1の脆弱性
FREAK(2015年3月) OpenSSL(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)と、Apple の SSL/TLS通信における脆弱性

SSL/TLSに関する資料・お問い合わせはこちら

電話:03-6370-6500(受付:平日10時〜18時)

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.