答え:脆弱性が見つかったので使用禁止になったから

 Web通販サイトなどにアクセスするとWebブラウザーのアドレスバーに「錠マーク」が表示される。日経NETWORKの読者でも多くの人は、「SSLが使われているサインだ」と理解しているはずだ。ところが実際は異なる。この場合のほとんどはSSLの後継のプロトコル「TLS」を使っている。なぜか? SSLが「使用禁止」になったためだ。安全な通信手段の代名詞は今後、TLSとなる。SSLとTLSの交代劇を説明する前に、まずはこれらの歴史を見ていこう。

SSLは単一の企業が開発

 インターネットは安全性が保証されていないネットワークであるため、通信の盗聴やなりすまし、改ざんといった危険がある。TLSやその基になったSSLは、これらの危険から通信データを守るために用意されたプロトコルだ(図1-1)。盗聴に対しては、やり取りするデータを暗号化して防ぐ。通信相手がなりすましをしていないかどうかは、認証局あるいはCAと呼ぶ信頼できる第三者が発行した「サーバー証明書」で確認する。データの改ざんは、ハッシュという技術で検出する。

図1-1●3つの役割「暗号化」「認証」「改ざん検出」
図1-1●3つの役割「暗号化」「認証」「改ざん検出」
SSLは、「通信の暗号化」「通信相手の認証」「改ざん検出」の3つを実現するために作られた。盗聴やなりすまし、改ざんから通信データを守る。この役割はTLSでも同じだ。
[画像のクリックで拡大表示]
▼SSL
Secure Sockets Layerの略。
▼使われているサイン
正確にはセキュアなHTTPであるHTTPSが使われていることを示す。SSLやTLSはこのときの暗号化や認証に使われる。
▼TLS
Transport Layer Securityの略。
▼CA
Certificate Authorityの略。
▼信頼できる第三者
セキュリティ技術者などはTrusted Third PartyやTTPと呼ぶ。
▼サーバー証明書
デジタル証明書ともいう。クライアントを証明する証明書は「クライアント証明書」と呼んで区別する場合がある。
▼ハッシュ
詳細については、別の回で解説する。