SSL/TLSとは

SSLとTLSの違いと脆弱性の問題

SSL・TLSの違いとSSL/TLSと表記される理由、2つのプロトコルが開発され発展してきた歴史、およびSSL/TLSに関する脆弱性の問題の動向やウェブサイトの脆弱性を確認する方法について。

PDF資料配布中
  1. SSLのグローバルサイン
  2. サービス一覧
  3. SSLサーバ証明書
  4. SSL/TLSとは?
  5. SSLとTLSの違いと脆弱性の問題

SSLとTLSの違いと「SSL/TLS」と表記される理由

SSLとTLSの違い、および現在「SSL/TLS」と表記される理由は、この2つのプロトコルが開発され、発展してきた経緯によるものです。

SSLは米Netscape社が開発しましたが、SSL1.0は脆弱性が発見されたため、製品に実装されることはありませんでした。

1994年に、SSL1.0を改良した「SSL2.0」がリリースされた際、高機能ウェブブラウザ「Netscape Navigator 1.1」に実装され、SSLが広く一般に知れ渡るようになりました。
その後、SSLはバージョン3.0までが開発されましたが、1999年にはSSL3.0を元にした「TLS(Transport Layer Security)1.0」が定められ、現在はTLS1.2までリリースされております。

現在最新バージョンとして広く普及しているのは、2008年8月に制定された「TLS1.2」ですが、既に開発から7年が経過したバージョンです。
このため、すぐにリリースされる予定ではありませんが、HTTP/2などの新しいプロトコルの登場を背景とした「TLS 1.3」が提案されています。

SSL3.0とTLS1.0は、仕様の違いもごくわずかで仕組みがほぼ同じですが、TLSが登場した段階では既にSSLという名称が広く使われていたために、現在では「TLSのことも含めてSSLと呼ぶ」または「SSL/TLS」「TLS/SSL」のような併記で使われる事が多いです。

SSL/TLS これまでの歩み

SSL 1.0 リリース前に脆弱性が発見され公開されず
SSL 2.0 1994年リリース
SSL 3.0 1995年リリース
TLS 1.0 1999年リリース
TLS 1.1 2006年リリース
TLS 1.2 2008年リリース
TLS 1.3 ドラフト策定中 ※2016年1月現在

SSL/TLSが抱える脆弱性の問題

初めて開発されたSSL1.0は、リリース前に脆弱性が発見され公開に至りませんでした。
その後開発されたSSL2.0では、製品に実装された後に脆弱性が発見され、多くのウェブブラウザでSSL2.0を無効とする初期設定が行われました。

ごく最近まで広く使用されていたSSL3.0は、2014年に重大な脆弱性である「POODLE(CVE-2014-3566)」が発見されました。このため、現在ではサーバでのSSL3.0の利用は非推奨とされ、また多くの主要ブラウザでSSL3.0が無効となりました。
またPOODLE(CVE-2014-3566)においては、実装が不十分なTLS1.0/1.1の場合もサーバとの通信において脆弱性があることが確認され、TLS1.0/1.1の利用は非推奨となっております。

この他、2014年・2015年に発覚したOpenSSLの脆弱性「Heartbleed」「FREAK」など、場合によってはOpenSSLのアップグレードやSSLサーバ証明書の入れ替えが必要になるケースもありました。

Heartbleed(2014年4月) OpenSSLの暗号ソフトウェアライブラリ上で発見された脆弱性
POODLE(2014年10月) SSL3.0と一部のTLS1.0/1.1の脆弱性
FREAK(2015年3月) OpenSSL(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)と、Apple の SSL/TLS通信における脆弱性

脆弱性が無いか確認するには?

Qualys SSL Labs社が提供している「SSL Server Test」を利用して、SSLサーバ証明書の設定状況の確認、安全性の診断などを行うことができます。
診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、(既存の)脆弱性が見つかったことが分かります。

脆弱性問題のあるサイトの場合

SSL 3.0が有効となっている場合、「INSECURE (安全でない)」と表示され、またTLS1.2に対応していない場合は、オレンジ色で「No」と表示されます。

なお、この診断結果はあくまで「既存の」脆弱性について診断するものです。まだ発見・言及されていない脆弱性については診断ができませんので、繰り返しチェックを行うことが必要です。

脆弱性問題に関する最新情報

日本国内においては、「IPA(独立行政法人 情報処理推進機構)」などが脆弱性に関する情報を提供しております。 また、弊社をはじめとする各認証局や各機器・ソフトウェアなどの発売元でも、最新情報や対処法などをウェブサイトやメール等で公開しています。

さらに、これまで発生したSSL/TLS関連の脆弱性問題をテーマにした弊社ブログ記事を、以下で公開しておりますのでぜひご一読ください。
SSL/TLSの脆弱性問題に関するブログ記事

PDF資料を配布しております

サービスカタログ

  • グローバルサイン総合カタログ
  • サーバセキュリティサービスカタログ

関連資料

  • 初めての方でもわかるSSL/TLSのキホン 徹底解説
  • 常時SSLのススメ メリットと注意したいポイント

SSLに関する資料ダウンロードはこちら

電話:03-6370-6500(受付:平日10時〜18時)
ページのトップへ戻る