ブログ

HTTPS の「S」は SSL の略ではありません

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2015 年 12 月 7 日公開

ブラウザに南京錠アイコンが表示されている場合は、そのサイトが通信のセキュリティ保護に SSL を使用していると考えるのが自然です。 これは、サイトが実際に安全であることを消費者に知らせるシグナルでもあるようです。 CA セキュリティ カウンシルの 2015 年消費者信頼調査によると、「南京錠アイコンのないサイトにクレジットカード情報を提供する人はわずか 3%」だそうです。

影響は消費者だけに留まりません。 最新のapplication配信状況調査の回答者のうち、「SSL Everywhere」をすでに実装しているか実装を計画している回答者は、application層攻撃に対する組織の耐性について、より高い信頼度(1 ~ 5 段階で 3 以上)を示しました。

画像

実のところ、ほとんどの人は SSL が何の略なのか説明できず、ましてやそれがどのように機能するかを説明することもできません。 しかし、彼らが知っているのは、それがアプリやウェブサイトとやりとりする際のトランザクション(したがって潜在的に機密情報)のセキュリティを確保するためのメカニズムであるということです。

それは部分的には私たち(つまり市場)の責任です。 SSL は、プロトコル ( RFC 6101 ) の説明としてだけでなく、安全な接続を説明する一般的な方法としても使用しています。 SSL は、セキュリティのバンドエイド、検索エンジンの Google、ティッシュのクリネックスです。

現実には、HTTPS には SSL は必要ありません。 「HTTPS」の「S」はセキュア(安全)を意味し、ブラウザと Web サイトなどの 2 つのエンドポイント間の接続を保護する何らかの方法を意味します。 増加しています。これは実際には SSL ではなく、HTTP over TLS を意味します。

これは重要な違いです。なぜなら、ルートは共通しているものの、TLS は SSL ではなく、TLS でもないからです。 これらは異なるプロトコルであり、それぞれに独自の課題、問題、影響があります。 どちらも同じ方法で接続を保護します。認証には証明書を使用し、暗号化には公開鍵と秘密鍵のペアを使用しますが、実装の違いは残ります。

なぜ気にする必要があるのでしょうか? 最新の(そしておそらく最高の、まだ分からない)Webapplicationプロトコル(HTTP/2 および SPDY)は SSL をサポートしていないため、注意が必要です。 TLS をサポートしています。 厳密に言えば必須ではありませんが、両方をサポートするブラウザ実装では TLS 経由のサポートのみが提供されます。 SSLではありません。

確かに、現在 HTTP/2 や SPDY を使用しているサイトの数はそれほど多くありませんが、その数は増えています。 上位 1000 サイトのうち 7.5% が現在 HTTP/2 経由でコンテンツを提供していることを考慮してください。

W3CTech (2015 年 7 月) より:

最終バージョンが2015年5月に公開された新しいHTTP/2標準は、現在、全ウェブサイトの0.4%(今月初めの0.24%から増加)、上位1,000サイトの7.5%で使用されています。

クリップ画像002

ここで、私たちが話しているのはブラウザとサーバーだけではないということを考慮してください。 また、それが統合にどのような意味を持つのか、つまり、HTTP/2 や SPDY だけでなく TLS の使用を強制している可能性のある上位 1000 サイト (Google など) からの API の使用にどのような意味を持つのかについても考慮する必要があります。 暗号化を提供する Google の公開サービスはすべて TLS を使用します。 Google の機能を統合している場合は、SSL ではなく TLS が使用されているかどうかが気になるかもしれません。 なぜなら、内部で違いが生まれるからです。

また、ビジネスにも影響があることに留意してください。 PCI では、2016 年 6 月 30 日以降、SSL は使用できなくなります。  その時点以降は TLS が明示的に必要になります。  つまり、PCI に準拠し続けるためには、いくつかの変更が必要になります。もちろん、準拠していないとさまざまな影響が出るため、変更が必要になります。 たとえば、クレジットカード発行会社から加盟店アカウント手数料や罰金が増額されたり、支払いや取引を処理する能力が完全に取り消されたりする可能性があります。 違反が発生した場合、セキュリティに関してデューデリジェンスを実行できなかったことに基づいて、企業は訴訟や罰金のリスクが高まります。

最後に、TLS に移行すべき理由を詳しく説明した、非常に強い文言の RFC ( RFC 7568 ) があります。

3.  SSLバージョン3.0は使用しないでください






   SSLv3 MUST NOT be used.  Negotiation of SSLv3 from any version of TLS

   MUST NOT be permitted.







   Any version of TLS is more secure than SSLv3, though the highest

   version available is preferable.

現時点では、今すぐに SSL から TLS に切り替えることは不可能です。 結局のところ、TLS は SSL v3 に基づいていますが、その前身と 100% の下位互換性があるわけではなく、SSL を無効にして TLS の使用を強制するには、いくつかの構成変更が必要です。 通常は再起動が必要な構成の変更。 大規模な環境では、当然のことながら、このプロセスは混乱を招き、時間がかかります。

しかし、SSL をどのくらいの期間サポートしたいのか、またいつ純粋な TLS に切り替えたいのかを真剣に検討し始める時期が来ています。