
【基礎】ドメインのhttps化は、SSLではなく「TLS」
令和元年となりましたね。
「平成」はインターネットが日本でも広まり、凄まじく進歩した時代でした。
新しく迎えた令和ではどのようになって行くのでようか。
さて、インターネットが生まれてから独自の犯罪も生まれ、それに対抗する技術進歩も目覚ましいものがありました。
そこで、今回はもはや当たり前となったセキュリティー対策「https化」について認識を再確認していただく内容です。
SSL/TLS
oogelのブラウザにあるアドレスバーをはじめ、各種ブラウザでもセキュリティー対策(https化)されてないと、警告が表示されてしまうのは周知の事実かと思います。
よくこのセキュリティー対策のことをSSLと呼んでいますが、正確にはそうではないことをご存知でしょうか?
実は現在「SSL」と呼ばれている「https化」は、「TLS」というセキュリティー対策です。
それではどうしてSSLと言う言葉を今も聞かれるのか?
背景をザックリお話ししたいと思います。
そもそもSSLとは
SSL(Secure Socket Latyer)とは、インターネット通信上のデータ盗聴や改ざん、フィッシング(なりすまし)などを防ぐ目的で開発された暗号化通信方式です。
例えば、何か商品をネットで購入するとなった時に、大切な個人情報を入力して送信するケースがあります。
その情報を弟3者に抜き取られないように、暗号化して通信するといった働きをします。
実はSSLは終わって、今はTLS
冒頭でも述べたように、現在はSSLではなく「TLS(Transport Layer Security)」が正しい通称です。
やや前後しますが、SSLは開発当初「SSL 1.0」と言うバージョンからはじまり、改良を重ねて幾度かバージョンアップがなされて行きます。
ですが、その過程で重要な脆弱性が発見されました。
SSLを根本的に見直す必要性が生じたのです。
そのため、新たに開発されたのが「TLS」と言う規格です.
ところが、SSLと言う言葉が馴染み深く残っているため、現在でもよくSSLやSSL/TLSと言う言葉が聞かれるのです。
結局SSLとTLSは何が違うのか
「TLS(TLS 1.0)」がリリースされたのは、1999年の1月。
意外にもおよそ20年も前のことです。(そう思うのは私だけでしょうか笑)
ざっくりと両者の違いを理解するとしたら、「規格が違う」ということになるでしょう。
〜 SSLは様々な外部からの攻撃に対応するために、改良を重ねて規格まで変わって「TLS」となってしまった 〜
TLSもバージョンの更新を繰り返し、2018年8月には最新バージョン「TLS 1.3」が公開されました。
従来の「TLS 1.2」が公開されたのが2008年の8月なので、10年ぶりのバージョンアップとなります。
今後、セキュリティー対策に遅れをとっているサイトはますます不利な状況となって行くでしょう。
もしまだTLS化されていない(https~となっていない)サイトをお持ちであれば、TLS化に向けて動くことをお勧めします。