SSLとTLSに関する知識5つ|違いを理解して安全な通信への対策を!

エンジニア
SSLとTLSに関する知識5つ|違いを理解して安全な通信への対策を!のアイキャッチイメージ

SSLとTLSに違いはある?


SSLとTLSはどちらもインターネット通信における暗号化システムですが、それぞれがどのようなものかを区別して説明を求められると首をかしげる人が増えます。

インターネット通信の暗号化というのは知っていても、SSLとTLSの間にどのような違いがあるのかを理解している方は思いのほか多いということです。

SSLとTLSは名称で区別されているように、それなりの違いが存在しています。明確に理解し、正しい使い方ができるようにしておきましょう。

SSLとTLSに関する知識5つ


SSLとTLSに関する知識には、SSLについて・TLSについて・両者の違い・両者にある問題点・両者の歴史があります。これらの知識は、SSLとTLSを知る上で役立つ内容となっています。

特に歴史に関しては、両者の違いや問題点、それぞれの特徴を知る上での情報が含まれています。SSLとTLSの知識を深めることに役立つ内容を以下にご紹介しますので、確認しておきましょう。

SSLとTLSに関する知識1:SSLについて

SSLは、Secure Sockets Layerの略称です。インターネット上のWebブラウザとWebサーバーの間で行われる送受信(データ通信)を暗号化するもので、送受信された内容が無関係な第三者に盗み見されないようにする目的があります。

特に個人情報に関わる内容は、第三者に盗み見されると悪用される可能性があります。たとえば、個人の指名・住所・電話番号・メールアドレス・クレジットカード情報・ログインIDとパスワードなど、これら個人情報を悪意ある第三者が見れないようにするのです。

SSLの仕組み

SSLの仕組みは、データ通信の暗号化です。暗号化しないままデータの送受信を行うと、何にも包まれず通信回路上に情報が表示されるため、知識や技術のある人であれば簡単に接触することができます。

しかし暗号化すれば、複雑な文字やアルファベットなどで構成された暗号の状態で送受信されるため、知識や技術があっても易々と暗号の中にあるデータへ接触することはできません。

SSLが導入されているサイトのURLは、先頭部分が「https://」になっています。これはHTTPS(HyperText Transfer Protocol Secure)と呼ばれるもので、HTTP(http://)にSSLによる通信データ保護の仕組みが導入されていることを表しています。

SSLの役割

SSLの役割は、インターネット上で送受信されるデータ内容を悪意ある第三者の目から守ることです。氏名・メールアドレス・クレジットカード情報などテキストデータだけでなく、画像・動画・音声といったデータもSSLがないと簡単に盗み見される可能性があります。

悪意ある第三者は他者の個人的情報を不正に抜き取り、金銭類の不正使用・詐欺・データの販売などの形で悪用します。内容によっては、改ざんといった悪事が行われることもあります。特に国や大企業など、広く影響のある情報を誤った内容に変えてしまうのです。

また、SNSなどのアカウントであれば乗っ取りが起きたり、メールアドレスを登録するサービスを使った後に迷惑メールが来るようになることもあります。SSLはこのような事態を防ぐために存在し、人々のインターネット使用における安心・安全に貢献しているのです。

SSLとTLSに関する知識2:TLSについて

TLSは、Transport Layer Securityの略称です。TCP/IPで行われるサーバとクライアントの通信における通信路を、セキュア化する目的で導入されます。基本的な仕組みに関してSSLとの間に大きな違いはありません。

しかし、SSLにあった脆弱性はある程度改良されています。また、アプリケーションプロトコルと独立しているため、HTTP・SMTP・IMAPなど様々なプロトコルで使えるようになっています。SSLと目的は同じですが、現存しているのは改良版のTLSです。

TLSの仕組み

TLSの基本的な仕組みは、SSLの仕組みと大きな違いがありません。Webサイト側とサーバー側の間で起きるデータ送受信を、セキュア化するための暗号化システムが導入されています。

暗号化することで簡単に情報を見ることができなくなり、暗号を解く鍵を持つ存在(Webサイト側とサーバー側の両者)だけが情報を見ることができます。この点に関して、SSLとの違いは特にありません。

TLSの役割

TLSとSSLは仕組みがほぼ同じなので、役割にも特別な違いはないと言えます。つまり、送受信されるデータを暗号化して悪意ある第三者から守る役割があります。できることに関してもメインは同じ、データの暗号化です。

SSLおよびTLSがあることで、インターネット上におけるWebサイトでの送受信データは保護されています。悪意ある第三者からの接触を妨げ、安全かつ安心なWebサイト利用を助力しているのです。

SSLとTLSに関する知識3:SSLとTLSの違い

SSLとTLSの違いは、その歴史にあります。根本的な仕組みにはハッキリした違いがありませんが、SSLを元に作られたTLSはSSLにあった脆弱性などが改良されてはいるため、実用するにあたっての機能的な違いはみられます。

しかし、TLSが導入されたWebサイトの利用者が感じる違いは基本的にありません。また、TLSを導入したいと申請を行う人も、その違いを実感することはあまりないでしょう。

SSLが根付く中で登場したTLSは名称として普及しづらい状況にあったため、TLSがどういうものなのかサイト利用者や導入を行う人が分かりやすいように、今は「SSL/TLS」や「TLS/SSL」と表記しています。

SSL/TLSはどう違う?

SSLとTLSは現在「SSL/TLS」や「TLS/SSL」と表記されていますが、SSLとTLSの根本的な仕組みはほぼ同じです。実際に、機能的な違いを感じることもそうありません。

しかし、今でも区別して呼ばれることがあります。そのような傾向がある理由は、SSLが根付いている中でTLSが登場したことにあります。

TLSはSSLを元に開発されましたが、この頃は既にSSLが普及していたため、根本的仕組みが変わらないTLSの名称は根付きにくかったと言われています。SSLと混同することが多かったため、明白に区別することなく「SSL/TLS」や「TLS/SSL」と表記するようになったのです。

SSLとTLSに関する知識4:SSLとTLSの歴史

最初に誕生したSSLは、インターネットのセキュリティ性を挙げるために作られました。インターネットが登場した当初は利用者の性善説に基づいた設定が実装されていたため、他人のデータを第三者が覗き見るなど悪意ある行為は前提にありませんでした。

しかし、インターネットの利用者が増えると共にそういった悪意ある行為がみられるようになったため、インターネットのセキュリティ性を上げる必要性が出てきました。そこで作られたのが、送受信されるデータの暗号化を行うSSLです。

開発されてからも何度か脆弱性が見つかり、そのたびに改良されたバージョンが世に出されてきました。バージョン3.0まで開発された結果、そのSSLを元にしたTLSが開発されました。

以降開発の中でSSLの名称は使われなくなり、TLSの名称だけが残っています。しかし、一般的には違いが分かりにくいことから「SSL/TLS」などと表記されることが多いです。

SSLとTLSに関する知識5:SSLやTLSの問題点

SSLはバージョン1.0から3.0に至るまでに何度か改良版をリリースしており、そのたびに前バージョンで見つかった脆弱性が改善されてきました。そして1999年にSSL3.0を元に開発されたTLS1.0が登場しました。

簡単に言えば、TLSはSSLから生まれています。仕組みにも大きな違いはありません。つまり、SSLは完璧な段階でTLSに移行したわけではないため、SSLおよびTLSにはまだ不完全な部分が残っています。

そのことを示すように、TLSも登場以降、何度か改良版がリリースされています。しかし、これは当たり前のことです。インターネット内には数多くのパターンが存在し、中にはまだ人に知られていない部分もあるため、様々な観点から防御壁の穴を見つけないといけないのです。

SSL/TLS導入の流れ


SSL/TLSを使用してWebサイトのURLを「http://」から「https://」にするためには、導入したいサーバーに対するSSLサーバー証明書のインストールが必要です。

SSLサーバー証明書をインストールするためには信頼性が確立された第三者機関が、導入を希望するWebサイトの運営者の正当性を確認する審査を行います。この審査を通過することで証明書が発行され、URLが「https://」に変更されます。

SSL/TLS導入の流れ1:CSRを作成する

SSL/TLS導入の流れ1つ目は、CSRの作成です。CSRはCertificate Signing Requestの略称で、証明書署名要求を意味します。SSLサーバー証明書の発行に必要な署名要求で、申請書のような役割があります。

CRSは、認証局に「SSL/TLSを使いたいです」という意思を示す時に必要になるものです。そのため、認証局にSSL/TLSの導入を申請する前にまずCRSを作成しましょう。

SSL/TLS導入の流れ2:認証局にCSRの申請を申し込む

SSL/TLS導入の流れ2つ目は、認証局にCSRの申請を行うことです。CSRの作成を終えたら、SSLサーバー証明書が必要であることを示す申請を認証局に対して行います。

申し込む際に記入する内容は、証明書の種類で異なります。D V証明書・OV証明書・EV証明書などいくつかの種類がありますので、必要になるものをあらかじめ把握しておきましょう。

申し込みは一般的にWeb上で行えますが、申し込みあとには必要書類の送付を求められます。審査はこの書類によって行われ、無事通過すれば証明書が発行されます。

SSL/TLS導入の流れ3:証明書を発行する

SSL/TLS導入の流れ3つ目は、証明書の発行です。認証局からの許可を得ることができたら、証明書が発行されます。申請から発行に至るまでの期間は、証明書の種類・サービス・申請や入金のタイミングなどで異なります。

D V証明書は最短で30分ほど、OV証明書は1日程度、EV証明書は約3営業日となっています。そう多くはかかりませんが、必要書類の内容に不備などがある時にはさらに延びますので、書類を正しく用意し、申請した日時もメモしておくと良いでしょう。

SSL/TLS導入の流れ4:サーバーに証明書をインストールする

SSL/TLS導入の流れ4つ目は、サーバーに証明書をインストールすることです。発行された証明書は、自身でサーバーなどにインストールします。インストールの仕方に関しては機器などで異なるため、証明書発行を行う会社が提供するマニュアルなどを参考にしましょう。

会社によって、導入マニュアル・導入前のアセスメントサービス・導入支援サービスなどを提供していることもあります。インストールの仕方がよく分からない時には、サポート面も含めて導入方法を考えましょう。

また、SSLサーバー証明書には期限があります。期限は通常1年ですが、場合によっては3年間の有効期限が設けられることもあります。期限が切れるとSSL/TLS導入の意味がないため、更新時の暗号など最新情報をチェックして、忘れることなく更新を行いましょう。

SSLやTLSの違いを理解して安全な通信への対策を!


SSLとTLSはSSL/TLSと表記されるように、現状における明確な違いや区別はありません。なぜなら、TLSはSSLを元に登場したものであり、その登場と共にSSLの開発は終了したためです。つまり、SSLはTLSに移行したということになります。

SSLとTLSの仕組みは根本的に同じで具体的な違いがなく、どちらも送受信データを暗号化して悪意ある第三者が悪用しないように守る役割があります。SSLサーバー証明書を発行し、インストールを行なって安全な通信を実現しましょう。

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。