ふとメールを確認していると、Azureから下記のメールが届きました。せっかくなので、自社で利用しているサービス、開発しているサービスなどの状況を確認した際の内容をベースに知識を整理してみようと思います。

TLSは、インタネット上でのウェブブラウザ、ウェブサーバ間のデータ通信を暗号化し、送受信するための仕組みの仕組みです。今回は、SSLやTLSについて、少し触れてみたいと思います。

TLSとは?

TLSは、Transport Layer Securityの頭文字のことです。似たようなものSSL(Secure Sockets Layer)と呼ばれるものがあります。どちらもインターネット上のウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組みです。簡単に記載するとTLSは、SSLプロコトルの進化バージョンです。
現在では、SSL/TLSと表記されることが多いので見たことがある人も多いと思います。

TLS 1.3

TLS1.2のリリースから10年の歳月が経過した2018年8月に、「TLS1.3」が最新バージョンとしてリリースされました。
上記の脆弱性問題の反省から、TLS1.2以前のバージョンに存在した古い暗号アルゴリズムが削除され、ハンドシェイク(暗号方式や鍵交換などのセキュリティパラメータの取り決め)の途中から暗号化される仕組みが導入されました。また、通信パフォーマンスに関するさまざまなアップデートが行われました。

確認方法

Webで確認したい場合は、Qualys SSL Labs社が提供しているSSL Server Test (https://www.ssllabs.com/ssltest/)を使う方法があります。

弊社のホームページで実行してみた結果、下記のようにA判定となっています。緑で表示されている場合は、TLS 1.3に対応しているということになります。

コマンドラインで確認する方法は、opensslコマンドを使う方法があると思います。例としては、下記のようなコマンドで確認できると思います。

・SSL3.0通信確認
openssl s_client -connect ドメイン:443 -ssl3

・TLS1.0通信確認
openssl s_client -connect ドメイン:443 -tls1

・TLS1.1通信確認
openssl s_client -connect ドメイン:443 -tls1_1

・TLS1.2通信確認
openssl s_client -connect ドメイン:443 -tls1_2

まとめ

TLS、SSLともにインターネット上のデータ暗号化する仕組みのことです。TLSのほうが新しいので、より安全なものとなります。SSLという名称は未だ使用されていることもありますが、基本的にSSLは廃止されていますので、SSLと呼ばれていてもTLSという意味で解釈するのが通例です。簡単にテストもできるため、自社で構築されているサーバの状況などを確認してみてはいかがでしょうか。