どうももAdachinです。
サーバ管理者となると、SSLの設定は当たり前にこなさなければならない。
とりあえず、私には何が勉強不足だったのかというと、
証明書とか鍵とか中間証明書などは一体どういうものか理解していなかった。。
というわけでSSLの概要をメモします。
設定の仕方は次回にします。
■SSLとは
SSL(Secure Sockets Layer)とはデータを暗号化してやり取りする手順の決まり (プロトコル) 。
ウェブサイトで入力する個人情報やクレジットカード情報などを暗号化し、安全に送受信する技術。
■歴史
SSL 1.0→ネットスケープコミュニケーションズ社にて最初のバージョン。脆弱性のため実装した製品はない。
SSL 2.0→1994年発表。
SSL 3.0→1995年発表。2014年10月に大きな脆弱性が発表される。
TLS 1.0→1996年IETFのTLSワーキンググループはRFC 2246としてTLS1.0を公表。
TLS 1.1→2006年にRFC 4346としてTLS 1.1が制定。
TLS 1.2→2008年8月にRFC 5246としてTLS 1.2が制定。※主流
TLS 1.3→(草稿)→2014年10月に制定。
※SSLという名称が既に広く定着していたため、実際にはTLSを指していてもSSLと表記したり、
「SSL/TLS」「TLS/SSL」などと両者を併記したりすることが多い。
「TLS」は「Transport Layer Security」の略。
■SSL暗号化通信の流れ
■SSLサーバ証明書の作り方
■OSI参照モデルにおけるSSLプロトコル
SSLはセッション層に位置するプロトコルとして位置付けられる
■OSI参照モデルとは
OSI( Open Systems Interconnection )参照モデルとは、国際標準化機構( ISO ) により策定された。
コンピュータなどの通信機器の通信機能を階層構造に分割したモデル。
OSI参照モデルは第1層から第7層まで7つの層がある。
階層を(レイヤーと言う)
■OpenSSLとは
The Open Source toolkit for SSL/TLSの略。
オープンソースソフトウェア。
SSLライブラリ、暗号化ライブラリ、コマンドラインツールから構成される。
コマンドラインツールを使って鍵の生成、証明書の発行と管理などをおこなうことができる。
脆弱性が出た場合、アップデートを行う。
https://www.openssl.org/
■SSLを使用している例
・http
http」は「HyperText Transfer Protocol」の略。
ウェブサーバーとネット経由でテキストや画像、動画など各種情報を交換するための通信ルール。
・歴史
イギリスの物理学者ティム・バーナーズ=リーは1990年末、ロバート・カイリューと共に初のWebブラウザとWebサーバを作成した。ブラウザには通信をするためのプロトコルが必要だったので、HTTPの最初期のバージョンを設計した。
1998年にはインターネット上の通信の75%がHTTPによるものになった。
・https
「https」は「HTTP over SSL/TLS」の略。
「http」による通信を暗号化してセキュリティを強化したもの。
具体的にいうと・・・
→やり取りが途中で盗聴されないようにデータを暗号化したり、通信相手を証明して安全に通信するために使われる。
一先ずSSLの概要はこんなかんじで。
参考:https://www.jp.websecurity.symantec.com/event/pdf/seminar_sha2_20141030.pdf
0件のコメント