はじめに
本資料の目的
本資料は、SSL(Secure Sockets Layer)に関する基本をやさしく体系的に解説します。技術者でない方でも理解できるよう、専門用語は可能な限り抑え、具体例を用いて説明します。
対象読者
インターネットを利用する一般の方、ウェブサイト運営者、初学者を想定しています。例えば、オンラインショッピングで安心して買い物をしたい方、ログイン画面の安全性を知りたい方に役立ちます。
本書の構成と読み方
全7章で構成します。第2章ではSSLの定義、第3章で主な機能、第4章で動作の仕組み、第5章で証明書の中身、第6章で公開鍵・秘密鍵の役割、第7章で実装と表示方法を扱います。まずは第1章で全体像をつかみ、興味のある章から順にお読みください。
注意点
本資料は基本概念の解説に焦点を当てます。実装手順や最新の規格変更は章7で触れる程度に留めています。
第2章: SSLとは何か
定義
SSL(Secure Sockets Layer)は、ウェブブラウザとウェブサーバー間の通信を暗号化して安全にする仕組みです。通信内容を見られたり改ざんされたりするのを防ぎます。現在は改良版のTLSが主流ですが、実務では“SSL/TLS”とまとめて呼ぶことが多いです。
何を守るか
- 機密性:他人に通信内容を読まれないようにします。例:クレジットカード番号。
- 完全性:送信内容が途中で書き換えられないようにします。
- 認証:通信相手が本当にそのサーバーかを確認します。これにはデジタル証明書を使います。
仕組みの要点(簡単な説明)
SSLは、暗号化した“トンネル”を作ります。まずブラウザとサーバーが鍵を安全にやり取りし、その後はその鍵でデータを暗号化して送受信します。具体的なアルゴリズムは背景にありますが、利用者側はURLが”https://”で始まり鍵マークが表示されることで利用中と分かります。
日常での例
オンラインショッピングや銀行のサイトは通信をSSL/TLSで保護します。これにより個人情報やパスワードが守られ、安心してやり取りできます。
SSLの主要な機能
概要
SSLは主に「暗号化」「認証」「データ整合性」の三つを提供します。これらに加えて、否認防止やセッション管理も重要な役割を果たします。
暗号化
SSLは通信の盗聴を防ぎます。仕組みは二段階です。まず公開鍵暗号(非対称)で一時的な鍵(セッション鍵)を安全に受け渡します。次に、そのセッション鍵で高速な共通鍵暗号(対称)を使って実際のデータを暗号化します。例:ウェブブラウザがサーバーの公開鍵でセッション鍵を暗号化し、安全な通信を始めます。
認証
SSLは相手の身元を確認します。サーバーはデジタル証明書を提示し、認証局(CA)が署名します。ブラウザは証明書の署名と有効期限を確認して正当な相手か判断します。これにより、偽のサイトへの接続を減らせます。クライアント証明書を使うと双方向認証も可能です。
データ整合性
送信中のデータが改ざんされていないかを検出します。ハッシュ値と署名を組み合わせた方式(例:HMAC)は、ちょっとした変更でも検出できます。改ざんがあれば受信側はそれを認めません。
否認防止とセッション管理
デジタル署名は送信者が後で否定できない証拠になります。ただし鍵の管理が重要です。セッション管理では、セッション鍵の寿命や再利用(セッション再開)を決め、効率と安全性のバランスを取ります。
SSLの動作メカニズム
ハンドシェイクの流れ
SSLはまずクライアント(例:ブラウザ)が「ClientHello」を送ります。ここで対応可能な暗号方式や乱数を伝えます。サーバーは「ServerHello」で応答し、使う暗号方式と乱数を決めます。続けてサーバーは証明書を提示し、自身の公開鍵を知らせます。必要に応じて追加の鍵情報(ServerKeyExchange)を送ります。サーバーの提示が終わると「ServerHelloDone」で準備完了を示します。
鍵交換の仕組み
クライアントはサーバーの公開鍵を使い、プレマスターシークレットと呼ぶ値を暗号化して送ります。この操作は非対称暗号(公開・秘密鍵)で行います。サーバーは秘密鍵で復号し、両者はその値と乱数から共通のセッション鍵(共有鍵)を導き出します。
対称暗号での通信
以後のデータ転送は共通のセッション鍵を使う対称暗号で行います。対称暗号は処理が速いため、実際の通信を効率よく暗号化できます。暗号設定が終わると双方が「Finished」メッセージを送り、内容の整合性を確認して安全なチャネルが確立します。
クライアント認証(任意)
場合によってはサーバーがクライアントに証明書の提示を求め、双方向で認証を行います。これによりさらに高い信頼性を確保できます。
SSL証明書の構成要素
発行者情報(Issuer)
証明書を発行した組織の名前です。一般に認証局(CA)の名称が入ります。ウェブサイトが信頼できるか確認する手がかりになります。
証明書サムプリント(フィンガープリント)
証明書全体をハッシュ化した短い識別子です。たとえばSHA-256の値で「AB:12:…」のように表示され、証明書の改ざん検出に使います。
SSL/TLSのバージョン
通信で使われるプロトコルの世代情報です。例としてTLS 1.2やTLS 1.3があります。サーバーとクライアントはこの情報をもとに安全な接続方式を決めます。
発行ドメイン名とサブドメイン(CN, SAN)
証明書が有効なドメイン名を示します。例: example.com、www.example.com、*.example.com。ブラウザはアクセス先と照合します。
発行認証局(CA)の名前とデジタル署名
CAの名前と、CAが行ったデジタル署名が含まれます。デジタル署名で証明書の真正性を確認できます。
発行日と有効期限
証明書の開始日と終了日です。有効期限が切れるとブラウザは警告を出します。更新が必要です。
公開鍵(Public Key)
誰でも使える鍵で、接続のための暗号処理や署名の検証に使います。公開鍵は証明書に含まれます。
秘密鍵(Private Key)
サーバー側が厳重に保管する鍵です。公開鍵で暗号化した情報を復号したり、署名を生成したりします。漏洩すると重大な危険があります。
以上が主な構成要素です。用途ごとに確認すると運用が楽になります。
公開鍵と秘密鍵の役割
概要
SSLは公開鍵と秘密鍵という一対の鍵を使って安全を確保します。公開鍵は誰でも使える鍵、秘密鍵はサーバーだけが持つ鍵です。この仕組みで通信の機密性と正当性を守ります。
どう働くか
クライアントはサーバーの公開鍵でデータを暗号化します。暗号化されたデータは対応する秘密鍵でしか復号できません。秘密鍵はサーバーが厳重に管理し、不正な第三者は復号できないようにします。
わかりやすい例
公開鍵を玄関の投函口、秘密鍵を家の中の鍵に例えます。誰でも投函口から手紙(暗号化データ)を入れられますが、家の中で開ける鍵(秘密鍵)を持つ人だけが中身を読めます。
鍵の管理と注意点
秘密鍵を安全な場所に置き、複数箇所で共有しないことが重要です。漏洩すると偽のサーバーを作られたり、通信を復号されたりする危険があります。定期的な鍵の更新や強いパスフレーズの利用を推奨します。
よくある誤解
公開鍵は暗号化に使いますが、署名の検証にも使えます。双方の役割を理解すると、SSLがなぜ安全かがより明確になります。
SSLの実装と表示
概要
SSL(正確にはTLS)はウェブ通信を暗号化し、ユーザーとサイト間の安全な接続を作ります。実装するとURLが「http://」から「https://」に変わり、ブラウザに視覚的な安全表示が出ます。
ブラウザの表示と意味
- 鍵アイコン:接続が暗号化されていることを示します。クリックすると証明書の発行者や有効期限を確認できます。
- サイト名の表示(組織検証/拡張検証):一部の証明書では組織名を表示します。これにより運営主体が確認しやすくなります。
- 警告表示:証明書が無効、期限切れ、または混在コンテンツ(HTTPSページ内でHTTPの資源を読み込む)ある場合、警告が出ます。ユーザーはアクセスを控えるべきです。
証明書の簡単な確認方法
ブラウザの鍵アイコン→証明書を表示、で発行者・有効期間・ドメイン名を確認します。具体例:発行者が「Let’s Encrypt」、有効期限が明日までなら更新が必要です。
実装の基本手順(簡潔)
- 信頼できる認証局(CA)から証明書を取得します。無料の例:Let’s Encrypt。
- サーバーに証明書と秘密鍵をインストールします。ホスティングサービスなら管理画面で済むことが多いです。
- HTTPからHTTPSへ自動転送(リダイレクト)を設定します。
- HSTSヘッダーを設定して強制HTTPSを促します。
運用時の注意点
- 証明書の有効期限を管理し、期限前に更新してください。
- 古いTLSバージョンや脆弱な暗号を無効にして最新の安全設定を使います。
- ページ内で混在コンテンツがないか確認し、すべてHTTPSで読み込むようにします。
以上が、ウェブサイトでのSSL(TLS)の実装とブラウザ表示に関する基礎的な説明です。
