こんにちは、佐々木です。
今回は通信の暗号化についてお話したいと思います。
普段あまり意識される事はないと思いますが、インターネットをする際の通信というのは
暗号化されており第三者に情報を盗み見られないようにされております。
例えば、オンラインバンキングやAmazon等のECサイト。サイト利用時のアカウント情報や個人情報、
通信内容の傍受改ざんの防止。またメール送受信のデータ保護にも使われている技術です。
SSLやTLSなんて単語を聞いた事があるかもしれませんが、こちらがインターネット上の通信を
暗号化する為の仕組みになります。
ちなみにTLSはSSLの後継にあたり、現在はTLSが主流となっております。
表記としてはSSLという名称が浸透していることから「SSL/TLS」や便宜上単に「SSL」と
呼ばれたりしますが実際にはTLSのことを指しています。
どういったことをしているかざっくりにいうと、クライアントとデータ通信を行うサーバー間で
「共通鍵」の受け渡しを行い、暗号化されたデータをその「共通鍵」を使用して復号することで
安全にデータ通信を行います。
実際にはサーバー側の「公開鍵」や「秘密鍵」もかかわってきますが、わかりづらくなるので
割愛します(汗
もし興味があればご自分で調べていただくことをお勧めします。
2014年にSSL3.0暗号化通信の一部が漏洩する可能性がある脆弱性の存在が明らかになった事は
記憶に新しいですがこちらをもって世界的にTLSへの移行が必須になったわけですね。
当時私が受け持つクライアント環境下ではレジストリを配布する手段がなかったので1台1台手作業で
SSL3.0を無効化したのはいい思い出です(  ̄- ̄)トオイメ
ではSSLに脆弱性があるのであればTLSはどうなんだろう?という考え方が一般的かと思います。
結論を申し上げるとTLSでも脆弱性が見つかっております。
SSL3.0の脆弱性が見つかった際に、実装が不十分な「TLS1.0/1.1」でも脆弱性が
発見されております。
その為、現在では「TLS1.2」への移行が推奨されております。
Edge、Internet Explorer11、Safari、Firefox、Chromeでは、2020年にTLS 1.0とTLS 1.1が無効化
される計画が発表されておりますので無効化後は「TLS1.2」へ対応されていないサイトは
閲覧ができなくなります。
※2018年には「TLS1.3」が最新バージョンとしてリリースされました。
もしご自分が利用しているWebサイトの脆弱性を確認されたい場合は
SSL Labs社が提供している「SSL Server Test」を利用して、安全性の診断を行うことができます。
結果がA+~Fで表示され、B以下は脆弱性に問題があると診断されます。
【SSL Server Test使用方法】
1.「SSL Server Test」へアクセスし、確認したいURLを入力
2.診断結果確認
実際に脆弱性が見つかった場合の参考画像になります。
SSLが無効化されておらず、TLS1.0までしか対応していないため
下記のような結果となったと思われます。
いかがでしたでしょうか?
今回は通信暗号化という事で少しとっつきにくい話題だったかもしれませんが、
普段利用しているサイトがきちんと対応しているかを確認するだけでも
脆弱性があるサイトは利用しないという判断材料になり、
セキュリティリスクの低減へ繋がると思いますので是非意識していただければと思います。
それでは今回はこの辺りで失礼いたします。