全2934文字
PR

 TLSは、Webなどの通信を暗号化するセキュリティープロトコルだ(図1-1)。Web以外にも広く使われ、ネットワーク技術者として必修のプロトコルの1つである。

図1-1●ネットワークの上位レイヤーを保護
図1-1●ネットワークの上位レイヤーを保護
TLSはトランスポート層よりも上の層を保護するプロトコル。暗号アルゴリズムなどを使って、盗聴やなりすまし、改ざんから通信データを守る。
[画像のクリックで拡大表示]

 加えて近年はTLSを取り巻く状況が変わりつつある。Webブラウザーのベンダーやクラウド事業者は、旧バージョンの利用を禁止または非推奨にしている。旧バージョンにはセキュリティー上の問題があるからだ。旧バージョンを使用する企業は影響を受ける可能性がある。技術者はTLSの最新動向も押さえる必要がある。

 本特集では、TLSの基本的な仕組みと最新動向を徹底解説する。

SSLの後継プロトコル

 TLSはSSLの後継プロトコルである(図1-2)。SSLは米ネットスケープコミュニケーションズが開発した。最初のバージョンであるSSL 1.0は1994年に仕様が完成した。だが脆弱性が見つかり、製品には実装されなかった。製品に実装されて実際に使われるようになったのはSSL 2.0からである。

図1-2●バージョンの変遷と発見されたセキュリティー問題
図1-2●バージョンの変遷と発見されたセキュリティー問題
SSL/TLSには多数のセキュリティー問題が見つかっている。それらを解消するためにバージョンアップを繰り返している。アマゾンウェブサービスジャパンの提供資料を参考に作成した。
[画像のクリックで拡大表示]

 その後SSL 2.0にも脆弱性が見つかり、SSL 3.0が開発された。

 SSLは業界標準(デファクトスタンダード)として広く使われていたが、IETFが定めたいわゆるインターネット標準ではない。SSLの仕様はインターネットドラフトとして公開され、それを基に各社はSSLを実装していた。

 一時期はSSL 3.0のRFC化を目指していたが、これと並行して後継プロトコルとしてTLSが提案されて標準化作業が進められた。そして1999年にTLS 1.0を規定したRFC 2246が公開された。

 TLS 1.0以降もセキュリティー問題が次々と見つかり、バージョンアップを繰り返している。現在の最新バージョンはTLS 1.3だ(2022年10月時点)。そして2021年には、TLS 1.0および1.1の使用を非推奨とするRFC 8996が公表されている。