「インターネットで大事な情報をやり取りする際にはSSL(Secure Sockets Layer)を使用する」――。セキュリティの基本だ。だが、この常識が変わった。SSLに修正不能の脆弱性が見つかり、事実上使用禁止になったためだ。多くの人がSSLだと思って使っているのは、後継のTLS(Transport Layer Security)である。

 試しに、“SSL”使用サイトにアクセスしてWebブラウザーのアドレスバーに表示される「錠アイコン」をクリックしてほしい。ほぼ全ての“SSL”使用サイトで、TLSを使っている旨が表示されるはずだ(図1

図1●Webブラウザー「Chrome」と「Firefox」での表示例
[画像のクリックで拡大表示]
図1●Webブラウザー「Chrome」と「Firefox」での表示例
[画像のクリックで拡大表示]
図1●Webブラウザー「Chrome」と「Firefox」での表示例

業界標準のSSLからインターネット標準のTLSへ

 インターネットは安全性が保証されていないネットワークなので、通信の盗聴やなりすまし、改ざんといった危険がある。そこで、インターネットを介して商取引などができるように、米ネットスケープコミュニケーションズはSSLを開発し、WebブラウザーやWebサーバーソフトなどに実装した。

 1994年7月に仕様のバージョン1(SSL 1.0)が完成したものの、すぐに脆弱性(セキュリティ上の欠陥)が見つかり、仕様だけに終わった。最初に製品に組み込んだのは脆弱性を解消したSSL 2.0からだ