答え:脆弱性が見つかったので使用禁止になったから

 Web通販サイトなどにアクセスするとWebブラウザーのアドレスバーに「錠マーク」が表示される。日経NETWORKの読者でも多くの人は、「SSLが使われているサインだ」と理解しているはずだ。ところが実際は異なる。この場合のほとんどはSSLの後継のプロトコル「TLS」を使っている。なぜか? SSLが「使用禁止」になったためだ。安全な通信手段の代名詞は今後、TLSとなる。SSLとTLSの交代劇を説明する前に、まずはこれらの歴史を見ていこう。

SSLは単一の企業が開発

 インターネットは安全性が保証されていないネットワークであるため、通信の盗聴やなりすまし、改ざんといった危険がある。TLSやその基になったSSLは、これらの危険から通信データを守るために用意されたプロトコルだ(図1-1)。盗聴に対しては、やり取りするデータを暗号化して防ぐ。通信相手がなりすましをしていないかどうかは、認証局あるいはCAと呼ぶ信頼できる第三者が発行した「サーバー証明書」で確認する。データの改ざんは、ハッシュという技術で検出する。

図1-1●3つの役割「暗号化」「認証」「改ざん検出」
図1-1●3つの役割「暗号化」「認証」「改ざん検出」
SSLは、「通信の暗号化」「通信相手の認証」「改ざん検出」の3つを実現するために作られた。盗聴やなりすまし、改ざんから通信データを守る。この役割はTLSでも同じだ。
[画像のクリックで拡大表示]
▼SSL
Secure Sockets Layerの略。
▼使われているサイン
正確にはセキュアなHTTPであるHTTPSが使われていることを示す。SSLやTLSはこのときの暗号化や認証に使われる。
▼TLS
Transport Layer Securityの略。
▼CA
Certificate Authorityの略。
▼信頼できる第三者
セキュリティ技術者などはTrusted Third PartyやTTPと呼ぶ。
▼サーバー証明書
デジタル証明書ともいう。クライアントを証明する証明書は「クライアント証明書」と呼んで区別する場合がある。
▼ハッシュ
詳細については、別の回で解説する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。