SSL/TLSコラム

SSL/TLSとは、TLS 1.3の課題

SSL(Secure Socket Layer)とは、ユーザーとサイトの間、または 2 つのシステム間で送信されるデータを一切読み取れないように暗号化して送る通信プロトコルのひとつです。

インターネット上を流れる個人情報やクレジットカード情報、住所、名前などの個人情報を、暗号化することによって盗聴の危険から守ることができます。
Webだけでなく、メールやFTPなどに対しても利用することができます。
SSLプロトコルの最初のバージョンである「SSL 1.0」は、プロトコル自体に重大な欠陥があったため、公開されることはありませんでした。
次のバージョンである「SSL 2.0」が1994年11月にリリースされましたが重大な脆弱性が発見され、「SSL 3.0」が1995年11月にリリースされましたが2014年9月に仕様上の脆弱性(POODLE)が発見され、2015年6月にIETF(インターネット技術タスクフォース)によって「SSL 3.0」の使用は禁止されました。

TLS(Transport Layer Security)は、SSLがもとになっており、標準化される際に、TLSと名称変更されました。

しかし、SSLの名称が広く普及していたこともあり、現在でも、TLSを、SSLまたはSSL/TLSと表記されています。
1999年1月に「TLS 1.0」がリリースされ、実質SSLからTLSへと移行しました。
2006年4月には「TLS 1.0」の改良版として「TLS 1.1」がリリースされ、それまでに発見された攻撃手法に対応することを目的としたセキュリティの強化が行われました。
2008年8月には、「TLS 1.1」の改良版「TLS 1.2」がリリースされ、脆弱性のある古い仕組みの排除や、最新の暗号化に対応するなど、安全性を高める改良が行われました。
TLSの初期バージョンである「TLS1.0」や「TLS1.1」において、通信の傍受や暗号解読が可能である等の脆弱性が明らかになったため、クレジットカード業界で策定された、国際セキュリティー基準「PCI DSS(Payment Card Industry Data Security Standard)2015年12月18日に公開」は、加盟店にTLS1.2以降の使用を義務付け、その移行期限を18年6月30日(当初の2016年6月30日から2年延長された。)までとしています。

さらに「TLS 1.3」が2018年3月にIETF(インターネット技術タスクフォース)によって承認されました。

「TLS 1.3」の主な利点は、多数の旧式な暗号化アルゴリズムを取り除き、より強力な暗号化に対応している点です。
また、0-RTT(ゼロラウンドトリップタイム)を導入しているので、ユーザーが頻繁に訪れるサイトとの接続を高速化でき、モバイルネットワークの低遅延性を改善できるものと期待されているもののネットワーク機器ベンダーが「TLS 1.2」を実装した方法にも起因し、トラブルも多く発生しており「TLS 1.3」へのアップグレードを懸念している企業も多くあるようです。
現状では、深刻な脆弱性が発見されない限り「TLS 1.3」が「TLS 1.2」に取って代わることは無いように思われる。

ページ上部へ戻る