答え:脆弱性が見つかったので使用禁止になったから
Web通販サイトなどにアクセスするとWebブラウザーのアドレスバーに「錠マーク」が表示される。日経NETWORKの読者でも多くの人は、「SSL▼が使われているサイン▼だ」と理解しているはずだ。ところが実際は異なる。この場合のほとんどはSSLの後継のプロトコル「TLS▼」を使っている。なぜか? SSLが「使用禁止」になったためだ。安全な通信手段の代名詞は今後、TLSとなる。SSLとTLSの交代劇を説明する前に、まずはこれらの歴史を見ていこう。
SSLは単一の企業が開発
インターネットは安全性が保証されていないネットワークであるため、通信の盗聴やなりすまし、改ざんといった危険がある。TLSやその基になったSSLは、これらの危険から通信データを守るために用意されたプロトコルだ(図1-1)。盗聴に対しては、やり取りするデータを暗号化して防ぐ。通信相手がなりすましをしていないかどうかは、認証局あるいはCA▼と呼ぶ信頼できる第三者▼が発行した「サーバー証明書▼」で確認する。データの改ざんは、ハッシュ▼という技術で検出する。
▼SSL
Secure Sockets Layerの略。
Secure Sockets Layerの略。
▼使われているサイン
正確にはセキュアなHTTPであるHTTPSが使われていることを示す。SSLやTLSはこのときの暗号化や認証に使われる。
正確にはセキュアなHTTPであるHTTPSが使われていることを示す。SSLやTLSはこのときの暗号化や認証に使われる。
▼TLS
Transport Layer Securityの略。
Transport Layer Securityの略。
▼CA
Certificate Authorityの略。
Certificate Authorityの略。
▼信頼できる第三者
セキュリティ技術者などはTrusted Third PartyやTTPと呼ぶ。
セキュリティ技術者などはTrusted Third PartyやTTPと呼ぶ。
▼サーバー証明書
デジタル証明書ともいう。クライアントを証明する証明書は「クライアント証明書」と呼んで区別する場合がある。
デジタル証明書ともいう。クライアントを証明する証明書は「クライアント証明書」と呼んで区別する場合がある。
▼ハッシュ
詳細については、別の回で解説する。
詳細については、別の回で解説する。