はじめに
本資料の目的
本資料は「SSL接続」について、段階的に理解できるように整理しました。用語の定義だけでなく、実際にどのような場面で役立つかを具体例で示します。たとえばネットショッピングでカード情報を入力する場面や、ログイン情報を送るときの安全性を考えます。
対象読者
エンジニアやWeb担当者を主な想定読者としますが、基礎から丁寧に説明しますので、セキュリティに詳しくない方でも理解できます。導入や運用の判断に必要な知識を身につけたい方にも役立ちます。
この章で扱うこと
第1章では全体の案内と本資料の読み方を説明します。続く章で、SSL接続の基本的な意味、SSLとTLSの違い、守られるセキュリティ要素、通信の流れを順に解説します。各章で具体例と図解(言葉での説明)を用いて分かりやすくしています。
読み方のポイント
短く区切って読むと理解が進みます。まずは第2章で「SSL接続とは何か」を読み、日常のどの場面で使われるかを把握してください。その後、実際の導入や運用に関する章を参照してください。
SSL接続とは何か ― 基本の意味と役割
概要
SSL接続とは、インターネット上でやり取りする情報を暗号化し、相手が本当に正しい相手かを確認する仕組みです。普段見る「https://」や鍵マークがこれにあたります。
どう働くか(かんたんな流れ)
- ブラウザがサーバーに接続を要求します。
- サーバーは「証明書」を提示して自分の正当性を示します。
- ブラウザは証明書をチェックして問題なければ暗号鍵をやり取りします。
- 以後の通信は暗号化され、第三者に内容を読まれなくなります。
日常の例でイメージする
ネット注文でカード番号を送る場面を考えてください。SSL接続があれば、番号が暗号化され盗み見を防げます。証明書は相手の身分証のような役割です。
なぜ重要か
個人情報やパスワードを守るだけでなく、サイトのなりすましを防ぎ信頼を保てます。ウェブを安全に使うための基本的な仕組みです。
SSLとTLSの違い ― 「SSL接続」と呼びながら中身はTLS
1. 歴史と背景
SSLは1990年代にNetscapeが作った暗号化の仕組みです。古いバージョンには脆弱性が見つかり、安全性が十分でないため、改良版のTLSが標準化されました。TLSは基本的な考え方を受け継ぎつつ、暗号処理や手順を見直して安全性を高めています。
2. なぜ「SSL」と呼ばれるのか
多くの人や資料では「SSL接続」と言います。理由は歴史的な呼び方の定着や、設定画面や広告で使われた名残です。実務では「SSL=TLSを含む総称」と理解して問題ありません。ブラウザの鍵マークもTLS接続を表していることが多いです。
3. 技術的な違い(やさしい説明)
- ハンドシェイク(接続開始の鍵交換)の仕組みが改良されています。例えばTLS 1.3ではやり取りが少なくなり、通信が速くなります。
- 暗号アルゴリズムの選び方が安全寄りに変わりました。古いSSLで使われた弱い方式は使われません。
- 設計の細部が見直され、攻撃に強くなっています。
4. 実務上の扱いと注意点
一般の運用では「SSL」と書かれていても、実際はTLSを使っていることが多いです。安全にするには、サーバーやソフトを最新のTLS(少なくともTLS 1.2以上)に設定し、古いプロトコルや弱い暗号を無効にしてください。証明書(身分証のようなもの)はSSLもTLSも共通して使います。
5. まとめ代わりの一言(短く)
名前は昔のSSLが残っていますが、実際の中身は改良されたTLSです。したがって「SSL接続」と見ても、設定や確認ではTLSのバージョンを意識してください。
SSL接続で守られる3つのセキュリティ要素
1. 機密性(暗号化)
送信するデータを他人に読まれないようにします。例えば、ネットで買い物するときのクレジットカード番号や、ログインのパスワードは暗号化されてやり取りされます。SSL/TLSでは最初に安全な“鍵”を決め、その鍵で通信全体を暗号化します。第三者が盗み見しても中身を復号できない仕組みです。
2. 完全性(改ざん検知)
通信中にデータが変わっていないかを確認します。送る側がデータに小さな署名や値を付け、受け取る側がその値を確かめます。途中で改ざんされると値が一致せず、不正を検知できます。たとえば送信した注文内容が途中で書き換えられるリスクを防ぎます。
3. 認証(サーバーの正当性確認)
アクセス先が本当にそのウェブサイトの正当なサーバーかを確認します。ウェブサイトはデジタル証明書を提示し、ブラウザはその証明書を信頼できる発行元(認証局)と照合します。正しければ鍵交換を続け、安全な接続を確立します。これにより偽サイトへの接続や中間者攻撃のリスクが減ります。
これら三つが組み合わさり、ログイン情報や個人情報など重要なデータを安全にやり取りできます。
SSL接続の全体フロー ― HTTPS通信の流れ
イントロ:HTTPSでの通信は、まず安全で確実な道(TCP)を作り、その上で暗号の取り決めをしてから実際のやりとりを暗号化して行います。ここでは順を追ってわかりやすく説明します。
1. TCP接続(3ウェイハンドシェイク)
クライアントとサーバーがまず道を作ります。クライアントが「行きます」と合図(SYN)、サーバーが「いいですよ」と返す(SYN-ACK)、クライアントが「了解」と応答(ACK)して接続が確立します。これでデータが届く順序や再送が保証されます。
2. TLSハンドシェイク開始
クライアントが「暗号化したい」「こんな方式で行けますか」と提案します(ClientHello)。提案には暗号方式やバージョン、乱数が含まれます。
3. 証明書の送信と検証
サーバーが証明書を送ります。証明書はそのサイトが本物であることを示す身分証のようなものです。クライアントは発行者、期限、ドメイン名などを確認して信頼できるか検証します。
4. 鍵交換(セッションキーの共有)
安全に共通の鍵(セッションキー)を決めます。実際は双方で「共通の秘密」を作る操作を行い、第三者に知られないようにします。箱の鍵を安全に決めるイメージです。
5. ハンドシェイクの完了確認
双方が決めた情報で「これで問題ない」と確認する短いメッセージを交換します(Finished)。これにより途中で改ざんがなかったかをチェックします。
6. 暗号化されたアプリケーションデータの送受信
以降の通信は、決めたセッションキーで暗号化されます。ログイン情報やクレジットカード番号などは第三者には読めません。セッションが終わると鍵は破棄されます。
各段階は自動で行われ、普段は意識する必要はありませんが、この流れが安全なHTTPS通信の基礎です。
