アカウント
C・O・M・O・D・O インターナショナル
日本メインパートナー

SSLプロトコル

SSL(Secure Socket Layer)は、Netscape 社によって提案された、web サーバとブラウザの間のセキュアな通信を保証するために考案されたプロトコル(通信規約)です。

盗聴となりすましを防ぐために、公開鍵暗号の技術を用いて、暗号化と実在証明を行います。 クレジットカードの番号やパスワードを入力する際には暗号化が必要ですし、 サイトの運営者が不明な場合、実在証明によって通信先を確認できます。

http://で始まるURLは、SSLではないプロトコルで通信が行われます。しかし、https://で始まるURL(ブラウザによっては鍵マークが表示される)では、SSLの通信がなされます。


公開鍵暗号
公開鍵暗号では、受信者ごとに暗号化鍵と復号鍵が用意されています。 暗号鍵があれば、メッセージを暗号化することが可能です。 また、正当な受信者は、復号鍵からその暗号化されたメッセージを復元(復号)することができます。 暗号化鍵は公開されますが、暗号化鍵から復号鍵を得るには、計算機で膨大な時間がかかるようにしておきます。 (原理として、1024ビットもの2素数の積を素因数分解することが、最速の計算機を用いても何十年もかかるものが利用されています)




暗号化と署名

暗号化と復号は逆の操作です。メッセージを最初に復号してから暗号化しても、元のメッセージを復元できます。 したがって、暗号化して意味のあるメッセージに復元できれば、 その暗号化鍵に対応する復号鍵の所有者が復号したメッセージであるという保証が得られます。 このような処理を署名といいます。署名は、復号鍵の所有者の実在証明が保証されて、初めて意味を持ちます。


SSL証明書による暗号化

SSL証明書は、数行のテキストの形をとります。 公開鍵暗号の暗号化鍵に相当します。

SSL証明書は、暗号化のためだけであれば、原理的に誰もが発行できます。 現実に、ご自身でOpenSSLで証明書を発行することは可能です。 しかし、受信者情報に虚偽がないようにする(なりすましを防ぐ)ために、 SSL証明書の発行元を限定する必要があります。


認証局(Certificate Authority)の役割

ルート認証局(CA)とよばれる機関がSSL証明書を発行します。 ルートCAが認証したCAでもSSL証明書を発行できます。また、 CAが認証したCAもSSL証明書を発行 できます。 ルートでないCAは、そのCAを認証したCAの署名をもっています。 そして、各CAは、SSL証明書発行の際にその証明書に記載された受信者情報を厳密に審査します。 また、SSL証明書発行時にそのCAが発行したという署名をします。 ブラウザには、事前にルートCAのリストが格納されています。 (ルートCAを名乗ることは誰でもできます。しかし、大手の商用のブラウザに登録されなければ、 意味をなしません。) ブラウザは、読み込んだSSL証明書のCA(署名されている)が、その中にあるかどうかを見ます。 もしなければ、ルートCAではないので、そのCAを認証したCA(署名されている)を参照します。 最後にルートCAにたどり着けば、そのSSL証明書 の実在証明が得られたことになります。

C・O・M・O・D・O インターナショナル・日本メインパートナー/ InstantSSL.co.jp(株)Joe'sクラウドコンピューティング
Copyright(C) 2015 Joe's Cloud Computing Inc. All Rights Reserved.