SSLのバージョンについて


SSLのバージョンについて

インターネット上で通信を暗号化して送受信する為のプロトコルのバージョンのことを、SSLのバージョンと言います。
現在は、TLS1.2が最も新しいバージョンとなり、バージョンが上がるごとに暗号の信頼性が向上しています。

SSLとTLSの関係

元々SSLは米ネットスケープ社が開発した技術で、バージョンは3.0まであります。
以降は、インターネットにおけるさまざまな標準規約をさだめているIETF(The Internet Engineering Task Forceの略) のワーキンググループでの仕様策定に移行し、名前も「TLS」に改められました。
元がSSLと呼ばれるプロトコル(通信手段)、SSL3.0の次のバージョンがTSL1.0という関係ですがSSLという名称が広く定着している為、実際にはTLSを指していてもSSLと表記をしたり、「SSL/TLS」「TLS/SSL」などと両者を併記したりする事が多くあります。 SSLとTLSの間には互換性はありませんが、大枠の取組みはほとんど同じです。

機能

SSL/TLSには次のような機能があります。
・通信内容の暗号化
・通信内容の暗号化、通信相手の証明
・通信相手の認証によるなりすましの防止
・伝送時にメッセージの改竄がないかを調べる認証
SSL証明書の認証による通信相手の実在を保証し、暗号化によって安全な通信を実現します。

SSLの各バージョンの特長

SSL1.0

SSLの最初のバージョンであり、ネットスケープコミュニケーションズ社が設計。
設計の段階で大きな脆弱性があった事から実装されなかった。

SSL2.0

SSL1.0の問題を修正し、1994年にSSL2.0としてネットスケープコミュニケーション社が発表。
同社のウェブブラウザであるNetscape Navigator 1.1においてSSL 2.0を実装した。その後、SSL2.0にも脆弱性が発見され、現在では多くのWebブラウザーの初期設定でSSL2.0が無効となり、 Webサイト側も3.0に移行することになった。

SSL3.0

Netscape Nabigator2.0で採用されたバージョン。
ネットスケープコミュニケーションズ社はSSL 2.0の問題を修正するとともに機能追加を行い、1995年にSSL 3.0を発表した。広く使われたが、脆弱性「POODLE」が発見された為遂に終焉、 Webサイト側もSSL3.0を無効化し、TLS1.0以降へと移行する事になった。

TSL1.0

IETFによる最初のバージョン。仕様の整理などをし、RFC2246として標準化された。 現在広く使われている。
プロトコル内部で使われるバージョン番号は、SSL3.1である。

TLS1.1

暗号化にAESを正式導入するなどしたバージョンで、RFC4346として標準化された。
まだあまり使われていない。TLS 1.0からの変更点は、新しく発見された攻撃手法に対する耐性の強化が中心である。
ブラウザはOperaは対応しており、プロトコル内部で使われるバージョン番号は、SSL3.2である。

TLS1.2

ハッシュにSHA-256が追加されたバージョンで、RFC5246として標準化された。
プロトコル内部で使われるバージョン番号はSSL3.3である。

TLS1.3

現在、TLSの新たなバージョンとして提案されているのが、TLS1.3である。
データ圧縮の非サポート、forward secrecyではないcipher suite(RSAのみを用いたもの)および 認証付き暗号ではないcipher suite(CBCモードのブロック暗号やRC4を用いたもの)の廃止が1.2からの変更点として挙げられる。
ネゴシエーションにおけるバージョン番号は3.4となる予定。

現在お使いのSSLが安全か否かは、セキュリティ診断サイト等で確認する事が出来ます。
個人情報の取扱が取りざたされる今、ネットでのセキュリティーの強度は大変重要とされているので、こまめに診断し対策を打つ事が大切です。

SSLサーバ証明書(クーポン)のお申込み

SSLサーバ証明書(クーポン)はこちらからお申込みいただけます。

SSLサーバ証明書(クーポン)のお申込みはこちら

  • GMOイプシロン株式会社は
    プライバシーマークの認定を
    受けています。
  • GMOイプシロン株式会社
    のサービスはPCIDSSに
    完全準拠しております。
  • GMOイプシロン株式会社
    の事業所全てを対象に
    ISO27001への適合認証
    を取得しております。