SSLとTLSの違いと脆弱性

SSL（Secure Sockets Layer）/TLS（Transport Layer Security）は、インターネット上でデータを暗号化して送受信できるトランスポート層のプロトコルのことです。例えばクライアントとウェブサーバ間のHTTPやFTPなどの通信において、個人情報やクレジットカード情報など機密性の高いデータを、SSL/TLSにより暗号化して安全にやりとりできます。

SSLプロトコルは、バージョンアップを重ねた後、SSL3.0を元にしたTLS（Transport Layer Security）1.0がRFC (*)として定められました。SSL3.0とTLS1.0は大枠の仕組みは同じですが、SSLという名称が既に普及しているため、RFCにおける最新バージョンはTLS1.2であっても一般には「SSL」や「SSL/TLS」と表記することが多くなっています。シマンテックの「SSLサーバ証明書」も認知度とそれを変更する際の混乱を考慮してSSLの表記を残しています。

セキュリティの懸念から、現在では一般的にSSL3.0プロトコルの利用は非推奨とされているため、多くのウェブサイトではSSL3.0の利用を終了し、TLS1.2などより安全性が高いバージョンのプロトコルが使われるように設定されています。シマンテックのSSLサーバ証明書はSSLにもTLSにも対応しています。

OpenSSLは、SSL/TLSプロトコルの、オープンソースで開発・提供されるソフトウェアで、Unix系OSをはじめとする多くの環境でSSL/TLSを利用した暗号化通信を実装する上での、デファクトスタンダードになっています。

OpenSSLは、SSL/TLSを利用した暗号化通信を実装するソフトウェアです。オープンソースで開発・提供され、Unix系OSをはじめとする多くの環境で、デファクトスタンダードになっています。

2014年から2015年にかけて、OpenSSLおよびSSL/TLSプロトコルの脆弱性が幾つか発見されました。これらはSSLサーバ証明書の脆弱性ではありませんが、OpenSSLを利用するウェブサーバ管理者が、脆弱性対策のためにOpenSSLをアップグレードし、またSSLサーバ証明書を入れ替えしなければいけないケースも存在しました。