TLSとは
TLSは「Transport Layer Security」の略で、安全性の高い通信を行うプロトコルです。公開鍵認証・共通鍵暗号化通信、ハッシュ化などの機能を提供しています。これらの機能により、データ送信者と受信者の間でやり取りされるデータが、第三者に盗聴・なりすましをされるリスクを防ぎます。
TLSは、WebサイトのHTTP通信に用いられるのが一般的です。特にログインやECサイトにおける決済など、内容を秘匿すべきページの通信に使われます。そのほかにも、メールやファイル転送のプロトコルに採用されています。
TLSとSSLの違い
TLSはSSLをバージョンアップさせていく中で登場したプロトコルであるため、TLSとSSLは基本的に同じものです。
最初のバージョンであるSSL1.0は、アメリカのNetscape社によって開発されています。しかし脆弱性が見つかったため、結局リリースされることはありませんでした。次に登場したSSL2.0は1994年に無事リリースされています。その後1995年にSSL3.0が登場し、1999年にはSSLの脆弱性を改善したTLS1.0が発表されました。SSLからTLSに名称変更しているものの、SSLと大きな違いはないうえ、すでに名称としてSSLが定着していたためSSL/TLSと呼ばれるようになりました。
このような背景から、本来のSSLがすでに使われなくなった現在でもSSLという言葉が残っています。なお、現在の最新バージョンは2018年にリリースされたTLS1.3です。
以下の記事では、SSL暗号化について詳しく解説しています。SSLについても理解を深めたい方は、あわせてご覧ください。
SSL/TLSの必要性
インターネット通信でデータをやり取りした場合、SSL/TLSによって適切なセキュリティ対策が施されていないと、個人情報などのデータ盗聴や改ざんの被害にあう可能性があります。特にインターネットが発展した近年では、ハッカーなど悪意があるユーザーによる犯罪の被害にあうことも珍しくありません。
ECサイトなどのインターネットサービスを提供する企業は、ユーザーが安全にサービスを利用できるよう、データ通信のセキュリティ対策を行う必要があります。そのため、現在は多くのWebサイトでSSL/TLSを導入しています。
また、Google検索ではユーザーの安全なWebサイト閲覧のために、SSL/TLS導入の有無を検索結果の表示基準として定めました。SSL/TLSを導入しているとWebブラウザURL欄に鍵マークが表示されたり、httpsではじまるURLになっていたりするため、ユーザーからの信頼性も高まるでしょう。このようなことから、インターネットの安全な利用のためにSSL/TLSは不可欠といえます。
SSL/TLSの導入方法
続いて、SSL/TLSの導入方法を見ていきましょう。SSL/TLSを導入するには、CSRを発行・申請し、サーバに証明書をインストールする必要があります。それぞれの手順について詳しく解説します。
1.CSR(証明書署名要求)を発行・申請する
SSL/TLSはドメイン単位で取得します。はじめに、公開鍵認証で用いる秘密鍵を使ってCSRを作成しましょう。CSRとは「Certificate Signing Request」の略で、日本語に訳すと「署名リクエスト」です。これには認証に用いる公開鍵や、取得者の情報が記されています。
続いて、CSRを証明書の認証局に持ち込み、電子証明書を発行してもらいます。証明書の発行には費用がかかり、認証局によって金額が異なるため気をつけましょう。また、無料で証明書を発行してもらえるサービスも存在します。
2.サーバに証明書をインストールする
認証局に発行してもらった電子証明書(SSL証明書・TLS証明書)をサーバの所定の場所にインストールすると、通信のSSL/TLS化は完了します。ただし、その後もやるべきことがいくつかあります。
WebサイトをSSL/TLS化した場合は画像に注意しましょう。SSL/TLS化したWebサイトに、URLがhttpからはじまる画像が掲載されていると警告が出ます。画像のURLをすべてhttpsに変えて対応しましょう。
また、サイトのURLがhttpsに変わっても、変わる前のURLでサイトに訪れる人がいるかもしれません。その場合に備えて、httpでアクセスされてもhttpsにリダイレクトされるように設定が必要です。
そのほか、多くのツールからはSSL/TLS化する前と後で別のサイトとして認識されがちな点に注意しましょう。例えば、アクセス解析ツールにサイトを登録している場合は、httpからhttpsに登録情報を変更する必要があります。
SSL/TLSの主な種類
SSL/TLSには以下のような種類があります。
- ■EV SSL
- 企業の所在地や運用確認など、最も厳格な身元確認と審査を受けたことを証明する。
- ■企業実在認証SSL
- Webサイトを運営している企業が実在することを証明する。
- ■ドメイン認証SSL
- Webサイトの運営者にドメインの使用権限があることを証明する。
それぞれのSSLにEV証明書・企業認証型証明書・ドメイン認証証明書といった電子証明書が発行されます。
以下の記事では、ITトレンド編集部がおすすめする暗号化ソフトを比較紹介しています。自社の通信セキュリティ対策をより強化したいと考えている方は、あわせて参考にしてください。
TLSとSSLの違いを理解してセキュリティ対策を行おう
TLSは安全な通信を行い、ユーザーが安心してWebサービスを活用するために必要なプロトコルです。自社のWebサイトにどの種類のSSLが必要かを確認し、適切に導入するとよいでしょう。
また、ITトレンドではさまざまな特徴を持った暗号化ソフトを紹介しています。ファイルやデータベースなどの暗号化にも興味がある方は、以下のボタンから各社製品の資料が一括請求できるのでぜひ活用してください。
