「アドレスバーの『鍵マーク』って、一体どういう意味?」
「SSLとTLSって、何が違うの?」
私たちが毎日、当たり前のように利用しているインターネット。オンラインショッピングでクレジットカード番号を入力したり、SNSで友人とプライベートなメッセージをやり取りしたり…。
その通信が、もし世界中の誰かに「丸裸」で見られているとしたら…考えただけでも、ぞっとしますよね。
私たちが安心してインターネットを使えるのは、その通信を、悪意のある第三者から守ってくれる、強力な「セキュリティ技術」が存在するからです。
一言でいうと、SSL/TLSとは**「インターネット上の、パソコン(ブラウザ)とサーバー間の通信データを、暗号化して、盗み見や改ざんができないようにするための、世界標準のセキュリティプロトコル(お約束事)」**のことです。
この記事では、IT知識ゼロの初心者の方でも、このWebセキュリティの根幹をなすSSL/TLSの仕組みがスッキリと理解できるように、**「秘密の手紙のやり取り」**に例えながら、わかりやすく徹底的に解説していきます。
-
SSL/TLSが解決する、インターネットの「3つの危険」
-
通信を暗-I号化する、基本的な仕組み
-
SSLとTLSの、親子のような関係性
-
Webサイトの「身分証明書」である、SSLサーバー証明書とは?
物語の始まり:暗号がなかった頃の「危険なインターネット(HTTP)」
SSL/TLSの価値を理解するには、まず、それがなかった頃のインターネット通信(HTTP)が、どれほど危険だったかを知る必要があります。
HTTPは、例えるなら**「普通のハガキ」**です。
あなたが書いたメッセージは、そのままの文章(平文)で、配達員や、途中の郵便局員など、誰でも見ようと思えば見ることができます。
この「ハガキ」であるHTTP通信には、3つの致命的な危険が潜んでいます。
-
盗聴:通信内容が、第三者に盗み見される。→ あなたのパスワードやカード情報が盗まれる。
-
改ざん:通信内容が、途中で書き換えられる。→ ウイルス付きの偽ファイルにすり替えられる。
-
なりすまし:通信相手が、本物である保証がない。→ 本物そっくりの偽サイトに、情報を入力させられる(フィッシング詐ギ)。
「URLの先頭がhttp://で始まるサイトと、https-://で始まるサイトがあるけどどう違うの?」 Webサイトを見ているとき、アドレスバーに表示されるURLの先頭がhttp://で始まるサイトと、htt[…]
救世主SSL/TLSの登場:安全な通信を実現する3つの力
SSL/TLSは、この3つの危険を、見事に解決します。
SSL/TLSを使った安全な通信は**「HTTPS」と呼ばれ、URLの先頭がhttps://になります。sはSecure(安全な)**のsです。
HTTPSを例えるなら、**「特殊なインクで書かれた、本人にしか読めない暗号文の手紙を、頑丈な『鍵付きの金庫』に入れ、さらに差出人の『公的な身分証明書』のコピーを添えて、送る」**ようなものです。
1. 暗号化(盗聴対策)
SSL/TLSは、ブラウザとサーバーの間でやり取りされるすべてのデータを、意味不明な文字列の羅列に**「暗号化」**します。
もし第三者が通信を盗聴しても、そこに流れているのは、この解読不能なデータだけ。
これによって、あなたの個人情報がそのまま盗まれることを防ぎます。
2. 認証(なりすまし対策)
あなたがアクセスしているWebサイトが、偽物ではなく、本当にその運営元が作った「本物」のサイトであることを証明します。
この重要な役割を担うのが、後述する**「SSLサーバー証明書」**です。
3. 完全性の保証(改ざん対策)
通信データに、電子的な封印(メッセージ認証コード)を施します。
もし、通信の途中でデータが1ビットでも書き換えられたら、受信側でその封印が破られていることを検知できる仕組みになっています。これにより、データが途中で悪意を持って改ざんされていないことを保証します。
SSLとTLSの違いは?「親子」のような関係性
これは、よくある質問です。
-
SSL (Secure Sockets Layer)
-
1990年代に、Netscape社によって開発された、**「親」**にあたる技術です。
-
バージョンアップを重ねましたが、SSL 3.0に、セキュリティ上の深刻な脆弱性(POODLE攻撃)が見つかったため、現在ではSSLの使用は、全面的に非推奨とされています。
-
-
TLS (Transport Layer Security)
-
SSL 3.0を元に、その脆弱性を修正し、より安全性を高めて標準化された、**「子」であり「後継」**の技術です。
-
現在、私たちが安全な通信で使っているのは、すべてこの**TLS(バージョン1.2や1.3)**です。
-
つまり、**現在「SSL」と呼ばれているものは、その実態はすべて「TLS」**なのです。
しかし、長年の慣習から、今でも「SSL/TLS」と併記されたり、あるいは単に「SSL」という言葉が、安全な通信技術の代名詞として使われ続けています。
通信の安全を支える心臓部:「SSLサーバー証明書」
「暗号化に使う『鍵』は、どうやって安全に受け渡しするの?」
この2つの、セキュリティの根幹をなす重要な課題を解決するのが**「SSLサーバー証明書」**です。
-
Webサイトの「身元」を証明する、公的な身分証明書
-
通信を暗号化するための「公開鍵」を含んだ、電子証明書
SSL/TLS通信の、おおまかな流れ(SSL/TLSハンドシェイク)
あなたがhttps-://で始まるサイトにアクセスした瞬間、ブラウザとサーバーの間では、以下のような、複雑で、しかし一瞬のやり取り(ハンドシェイク)が行われています。
-
ブラウザ:「こんにちは!安全な通信を始めたいです」(クライアントハロー)
-
サーバー:「はい、こんにちは。これが私の**『SSLサーバー証明書』です。この中の『公開鍵』**を使って、今後のやり取りを暗号化しましょう」(サーバーハロー)
-
ブラウザ:
-
(証明書の検証):受け取った証明書が、信頼できる認証局(ブラウザに予めリストが登録されている)によって発行された、有効なものかを確認します。→ なりすまし防止!
-
(共通鍵の生成と暗号化):証明書が本物だと確認できたら、ブラウザは、この通信でだけ使う、使い捨ての「共通鍵」を生成します。そして、サーバーからもらった「公開鍵」を使って、この共通鍵を暗号化し、サーバーに送ります。
-
-
サーバー:
-
暗号化された共通鍵を、自分だけが持っている**「秘密鍵」**で、複合(解読)します。
-
これで、ブラウザとサーバーの両方が、**誰にも知られていない、同じ「共通鍵」**を持つことができました。
-
-
通信開始!
-
以降、ブラウザとサーバーは、この**「共通鍵」**を使って、すべての通信データを暗号化・複合しながら、安全に会話を続けます。
-
この**「公開鍵暗号」(金庫と鍵)と「共通鍵暗号」**(同じ鍵)という、2種類の暗号技術を巧みに組み合わせることで、安全な通信路を確立しているのです。
まとめ:SSL/TLSは、信頼のインターネットの「基盤」
SSL/TLSは、単なる暗号化技術ではありません。
それは、私たちがインターネットという、顔の見えない相手とコミュニケーションをとる上で、「信頼」を担保するための、最も基本的な、そして不可欠な社会インフラです。
-
SSL/TLSは、HTTP通信の**「盗聴」「改ざん」「なりすまし」**という3つの危険を解決する。
-
SSLは古い名前で、現在使われているのは後継技術のTLSである。
-
SSLサーバー証明書が、「サイトの身元保証」と「安全な鍵交換」という、中心的な役割を担っている。
-
ブラウザの**「鍵マーク」**は、このSSL/TLSによる安全な通信が行われている証。
それは、安全なアプリケーションを設計するための基礎知識となるだけでなく、インターネットという巨大なシステムの、見えない裏側で動いている、精巧で美しい仕組みへの、深い理解と感動を与えてくれるはずだからです。
「Webサイトがいつでも見られるのはなぜ?」「スマホゲームで、世界中の人といつでも対戦できるのはどうして?」 私たちが当たり前のように使っているITサービス。 その「当たり前」を裏側で支えているのが、**「インフラSE(イン[…]
