TLSって、SSLと一緒？

こんにちは。技術部のTTです。
今回はウェブサイトの安全を保障する、TLSについてお話させていただきます。

・そもそもTLSって何？
正式名称はTransport Layer Security
インターネット上で安全なデータのやり取りを行うための、暗号化した通信プロトコルです。

・プロトコルって何？
プロトコル（Protocol）とは、コンピュータ同士で通信を行う際のルールで、
IETF(インターネット技術特別調査委員会)さんがRFC(Request for Comments)という形式で定めています。

もともと、インターネットは大学、研究機関などの限られた人が使うもので、悪意あるユーザは
存在しない状態だったので、暗号化は必要ではありませんでした。

しかしコンピュータの普及により、不特定多数のユーザがインターネットを利用、
ネットショッピングなどのECサイト、インターネットバンキングなどが発達するにつれて、
通信が覗かれてはマズイ状況が多くなりました。

そこで登場したのが、ネットスケープ社が開発したSSL(Secure Sockets Layer)というわけです。
現在、https://～で始まるサイトには、SSL証明書が設置されており、暗号化通信はもちろん、
サーバの正当性や安全性を保障してくれています。

ところが！

実は現在使われているSSL証明書、SSLではありません。
SSLプロトコルは、最終バージョンである3.0が2015年の時点で廃止決定しています。
現在では少なくともTLS 1.0以上が使用されています。

・なぜTLSなのにSSL証明書と呼ぶのか
SSLが発表されたのが1994年、それから2015年までインターネット黎明期の暗号化を支えたのがSSLプロトコルです。
TLSも遅れて発表されましたが、主流だったのはSSLだったので、慣習的に現在でもSSL証明書と呼ばれています。

TLSというプロトコルは、SSLの後継として1999年にリリースされました。
こちらは特定の会社ではなく、先ほども登場したIETFさんがSSLに改良を重ねて作成しました。

・結局、TLSって、SSLと一緒？
開発者が異なるので、厳密には同じものとは言えませんが、通信を暗号化し、サーバの安全性を証明するという役割は同じだと言えます。

最後に、2021年春、TLS 1.0、1.1はIE11、Microsoft Edge HTML 版でも無効化される予定となっております。(2020年10月時点)
最低でも2008年リリースのTLS 1.2以上の導入は必須となりました。

サーバのTLS設定でお困りの方はネットアシストにご相談ください。

「TLS証明書」で違和感なく通じる日も遠くないかもしれません…