SSLについて
SSL通信は、使用する暗号スイートの決定をします。
そして暗号スイートは、鍵交換に利用される暗号化アルゴリズム、
サーバー認証に使用される暗号化アルゴリズム、
通信の暗号化に活用するアルゴリズムなどの組み合わせの事です。
さらに暗号スイートの交渉は、クライアント(取引先です)にリクエストを送信する際に、
自身が対応可能な暗号スイートの一覧をサーバーに送信します。
ちなみにサーバーは、安全な組み合わせを選んでクライアントに通知して
サーバー証明書をクライアントに送信します。
目次
SSLについて
SSLは、インターネット上のセキュリティ規格です。
別名は、Secure Socket Layerです。
大きな特徴は、サーバーを認証させる事、データの盗聴や改ざんを対策する事です。
プロトコル(HTTPS、POPS、FTPS、SMTPS、IMAPSなどです)の末尾のSが付きます。
基本的にSは、oner SSLの略語です。
通信をSSL上で行っている事を意味します。
従来のプロトコル(規格です)をセキュリティ的に強化したモノです。
①サーバーを認証する事
運営会社が認証局に申請します→認証局が証明書を発行します。
畝に会社が証明書を設置したサーバーができます。
利用者は、アクセスしやすくなります(セキュリティ強化です)。
つまり、認証局が発行した証明書でサーバーの正当性が保証されます。
②データの盗聴、改ざん対策
サーバーと利用者のログイン情報、個人情報などを第3者への攻撃を防ぎやすくなります。
TLSについて
TLSは、SSLの上位互換です。
別名は、Transport Layer Securityです。
SSLの脆弱性を対応した次世代規格です。
暗号スイートの設定について
鍵交換は、暗号化通信に使用する共通鍵をサーバー・クライアント間で交換します。
共通鍵の元を公開鍵で暗号化して送信する方法と
サーバーからクライアントに送信するパラメータを利用して共通鍵を生成する方法があります。
そして暗号化通信は、メッセージに付加されるハッシュ値をチェックします。
途中で改ざんされているかどうかを検証してコンピューターの性能を見直します。
膨大な計算によって行われる解析に対する暗号化、
ハッシュ化のアルゴリズムの強度が変わるからです。
時代によってアルゴリズムの変更があるので、
暗号スイートと使用可能なSSLバージョン設定を見直します。
SSL証明書について
SSL証明書は、信頼できる第3者である認証局が、
サーバー所有者本人のモノである事を記録したデジタルデータです。
別名は、公開鍵証明書です。
認証局によって発行されてサーバーに設置してクライアントが検証します。
一般的には、使用目的とコストパフォーマンスを重視して検討される事が多いです。
そして厳密な証明書は、登記情報の審査が必要です(手続きが大変です)。
証明書の発行手数料が高額ですが、証明書としての価値が高まります(信頼性が向上します)。
ちなみに認証局は、CA(Certificate Authorityです)です。
①ドメイン名、組織名などの証明書の発行対象に関する情報です。
②サーバーの公開鍵です。
③証明書のデジタル署名が含まれています。
認証局の秘密鍵で生成されるので、認証局の公開鍵でしか複合できない特性を利用して
証明書自体の正当性を証明する際に使用されます。
認証局の公開鍵を取り出す場合は、認証局自体の証明書を使用します。
そして自分自身を認証するのではなく、
他の認証局に認証されている認証局である中間認証書があります。
さらに認証局自体を証明する証明書であるルート証明書もあります(認証書の最上位です)。
つまり、中間証明書はサーバーの証明書と一緒にサーバーに設置されます。
ルート証明書はあらかじめブラウザにインストールされています。
ドメインの証明レベルについて
①DVは、ドメインの認証です。
Domain Validationです。
②OVは、ドメイン所有企業の実在性を認証します。
Organization Validationです。
③EVは、ドメイン所有企業の実在性をより厳しく認証します。
Extended Validationです。