TLSとは？SSLとの違いや導入方法をわかりやすく解説！

TLSとは

TLSは「Transport Layer Security」の略で、安全性の高い通信を行うプロトコルです。公開鍵認証や共通鍵暗号、ハッシュ化などの機能を提供しています。

これらの機能により、データ送信者と受信者の間でやり取りされるデータが、第三者に盗聴・なりすましをされるリスクを防ぎます。

TLSは、WebサイトのHTTP通信に用いられるのが一般的です。特にログインやECサイトにおける決済など、内容を秘匿すべきページの通信に使われます。そのほかにも、メールやファイル転送のプロトコルに採用されています。

TLSとSSLの違い

TLSとSSLは基本的に同じものです。SSLをバージョンアップさせていく中でTLSが登場しました。

最初のバージョンであるSSL1.0は、アメリカのNetscape社によって開発されました。ところが、リリース前に脆弱性が見つかったため、結局リリースされることはありませんでした。

次に登場したSSL2.0は1994年に無事リリースされています。さらに、1995年にはSSL3.0が登場しました。

続いて1999年にリリースされたのがTLS1.0です。SSLの脆弱性を改善したものとして登場しました。しかし、SSLと大きな違いはないうえ、すでに名称としてSSLが定着していたためSSLと呼ばれるようになりました。

このことから、本来のSSLがすでに使われなくなった現在でもSSLという言葉が残っています。ちなみに、現在の最新バージョンは2018年にリリースされたTLS1.3です。

SSL/TLSの導入方法

続いて、SSL/TLSの導入方法を見ていきましょう。

１．CSR（証明書署名要求）を発行・申請する

SSL/TLSはドメイン単位で取得します。初めに、公開鍵認証で用いる秘密鍵を使ってCSRを作成しましょう。

CSRとは「Certificate Signing Request」の略で、日本語に訳すと「署名リクエスト」です。これには認証に用いる公開鍵や、取得者の情報が記されています。

続いて、CSRを証明書の認証局に持ち込み、証明書を発行してもらいます。証明書の発行には費用がかかり、認証局によって金額が異なるため気をつけましょう。また、無料で証明書を発行してもらえるサービスも存在します。

２．サーバに証明書をインストールする

認証局に発行してもらった証明書をサーバの所定の場所にインストールすると、通信のSSL/TLS化は完了します。ただし、その後もやるべきことがいくつかあります。

WebサイトをSSL/TLS化した場合は画像に注意しましょう。SSL/TLS化したWebサイトに、URLがhttpから始まる画像が掲載されていると警告が出ます。画像のURLをすべてhttpsに変えて対応しましょう。

また、サイトのURLがhttpsに変わっても、変わる前のURLでそのサイトに訪れる人がいるかもしれません。その場合に備えて、httpでアクセスされてもhttpsにリダイレクトされるように設定が必要です。

そのほか、多くのツールからはSSL/TLS化する前と後で別のサイトとして認識されがちな点に注意しましょう。たとえば、アクセス解析ツールにサイトを登録している場合は、httpからhttpsに登録情報を変更する必要があります。

TLSとSSLの違いを理解してセキュリティ対策を行おう！

TLSは安全な通信を行うためのプロトコルです。第三者による改ざんや盗聴を防ぎます。基本的な仕組みはSSLと同じです。TLSが登場した際、すでにSSLという名称が定着していたことから、現在もSSLと呼ばれることが多くなっています。

TLS導入の流れは以下のとおりです。

1. １．CSRを作成し認証局に申請
2. ２．発行された証明書をサーバにインストール

以上を踏まえ、最適なセキュリティ対策を目指しましょう。