SSLとは
SSLとはSecure Socket Layerの略でセキュリティを高める暗号化通信の規約(プロトコル)として、 広くウェブサイトで利用されています。 SSLサーバー証明書が導入されているウェブサイトにhttpsから始まるURLで アクセスする事で通信の暗号化及び、ウェブサイトの運営者を確認する事ができます。
SSLの仕組み
通常、インターネットでは、暗号化されずにデータが送信されています。
そのため、通信途中でデータを傍受されると、情報が第三者に漏れてしまう可能性があります。
通常の通信でたとえば「山田太郎」という名前を入力して送信すると、
それはそのままインターネット通信でウェブサーバに送られます。
しかし、SSL通信であれば「山田太郎」という名前を入力して送信しても、
インターネット通信では「b5PJZr8SNth5vPiXaOgL9j・・・・」のように暗号化されて
ウェブサーバに送られます。万一、通信途中でデータを傍受されても
暗号化されているため、暗号を解読しなければデータの内容はわかりません。
現在、クレジットカード番号や個人情報を扱う多くのホームページでは、
通信途中での傍受やなりすましによる情報漏洩を防ぐ目的で、SSLを利用しています。
利用者がSSLを利用できるサーバーとデータをやり取りする場合には
、Webサーバーと利用者のコンピュータが相互に確認を行いながらデータを送受信するようになるため、
インターネットにおける通信内容の暗号化及びなりすましの防止が実現されます。
▼SSL暗号化通信を利用する場合
▼SSL暗号化通信を利用しない場合
SSL暗号化は本当に安全なの?
SSL暗号化は決して100%安全であるとは言えません。
SSL通信で暗号化されたデータは通信途中で傍受されても
暗号化されているため、暗号を解読しなければデータの内容はわかりません。
暗号を解読するには数年~数十年を要すると言われています。
実際には暗号の強度は、暗号化のアルゴリズムや鍵サイズによって大きな違いがあり、
またコンピュータの処理能力も年々高まっており、
暗号解読に要する時間が短くなる可能性も指摘されています。
SSLサーバー証明書を発行する認証局では、これらの問題に対応するため
鍵サイズを大きくする、暗号化のアリゴリズムをより強固なものに変更するなどの
取り組みを実施しています。
SSL暗号の2010年問題とは
従来広く使われていた1024ビットRSA鍵は、
安全性を担保するだけの強度が不十分であるといわれています。
そうした状況を受け、2010年に米国連邦政府が次世代暗号方式への移行を決定し、
その波紋が各業界へ伝わったことで生じた問題が、暗号の2010年問題です。
ベリサイングループ(ベリサイン、ジオトラスト、Thawte)では、
これらの情勢を考慮して、2010年末までにすべてのルート証明書を2048bitへ移行する予定です。
なお、すでにEV SSL サーバー証明書はすでに2048bitに対応済みです。
信頼された認証局とは
電子証明書を発行し、管理する機関を認証局といいますが、
認証局には「パブリックCA」と「プライベートCA」があります。
認証局は、証明書所有者の鍵ペア(秘密鍵と公開鍵)に対して公開鍵証明書を発行します。
この際、認証局は認証局自身の秘密鍵で、証明書所有者の公開鍵証明書に署名します。
この署名こそ「認証局が信頼を与え保証する」という意味を持ちます。
「パブリックCA」は認証機関としてのの管理要件、運用要件、システム・設備要件などの
厳しい規定に基づいて運用されている認証局で、
Verisign(ベリサイン)、Geotrust(ジオトラスト)、Thawte(ソート)などの認証機関がこれに該当します。
一般的に「パブリック認証局(CA)」のルート証明書は
多くのブラウザにプレインストールされているため、
これらの認証局から署名をされたSSLサーバー証明書は、
「信頼された認証局」によって発行された証明書であると認識されます。
しかし、
プライベートCAは、企業内や特定の取引先などある程度閉じた範囲で、
企業ポリシーに基づいて運用されているため、ブラウザからは「信頼された認証局」から
発行された証明書であると認識されません。