SSL/TLSとは?

レンタルサーバーの仕様を眺めていると、SSL/TLSという見慣れない単語を見かけます。これは一体何を意味しているのでしょうか?

簡単に説明すると、インターネットで安全な通信を行うためのプロトコル(ルール)です。通信相手の認証、通信内容の暗号化などが含まれており、Webブラウザであればネットショッピングやネットバンキングなど、重要な通信に利用されていると考えると分かりやすいでしょう。

SSL/TLSはHTTPS(Webブラウザ)だけでなく、他のプロトコルにも組み合わせることが可能です。よく見かけるのは、FTP over SSL/TLSやSMTP/POP over SSL/TLSなどです。

SSLのみの表記だったり、SSL/TLSとなっていることもあります。SSL(Secure Sockets Layer/セキュアソケットレイヤー)とTLS(Transport Layer Security/トランスポートレイヤーセキュリティ)は別物ではなく、バージョンが異なるものです。

SSLはネットスケープコミュニケーションズ社により開発され、SSL3.0まで存在します。そしてSSL3.0をベースにTLSがIETF(Internet Engineering Task Force)により策定されました。つまり、SSLは旧規格、TLSが現行規格となります。ただしSSLという名称の認知度が高くなっているため、TLSを利用していてもSSLと表記されたり、SSL/TLSと併記されることがあります。

SSL3.0にPOODLEと呼ばれる脆弱性が見つかったため、多くのブラウザではSSL3.0が無効化されています。例えば、Firefox34以降、Chrome40以降、Internet Explorer11(セキュリティ更新プログラム 3038314)ではSSL3.0は無効化されており、インターネット全体としてTLSの標準化が進んでいます。