HTTPからHTTPSへの変更に関する以前のレポートでは、Single Socket Layer(SSL)について簡単に触れました。要するに、SSLとその後継であるTransport Layer Security(TLS)は、安全にオンラインで運用するために必要です。
この記事では、「SSLとは何か」という質問と、SSL / TLSが機密情報をどのように保護するのかについて詳しく説明します。
なぜSSL / TLSを気にする必要があるのですか?
「方法」に進む前に、まず「なぜ」SSL / TLSを使用したいのかを見てみましょう。
$config[code] not found最近では、データセキュリティは最重要課題です。自分の身元を盗まれた人なら誰でもあなたにそれを伝えることができます。あなたの情報を安全に保つための秘訣は、誰かがそれを見ることができない場所に安全にそれを押し込むことです。
残念ながら、それはオンラインでは不可能です。オンラインで情報を転送すると、 常に あなたとあなたの顧客の両方がデータを管理できなくなるプロセスの中のある点。
あなたはあなたの顧客があなたのブラウザが動く装置とあなたがあなたのWebサーバーを保護することができる装置を安全にすることができる間、オンライン世界のパイプはあなたの両方の手から出ています。
ケーブル会社、電話会社、政府が運営する海底ケーブルを問わず、顧客のデータは他人の手を介してオンラインでやり取りされるため、SSL / TLSを使用して暗号化する必要があります。
オンラインで保護するためにSSL / TLSを使用できる情報の種類の例をいくつか示します。
- クレジットカード取引
- ウェブサイトへのログイン
- 個人情報および個人情報をやり取りする
- 詮索からあなたの電子メールを保護する。
はい、あなたがオンラインでビジネスをしているなら、SSL / TLSはあなたの継続的な成功にとって重要です。どうして?なぜなら
- あなたの顧客は、オンラインであなたと取引をするとき、またはあなたと取引をしないときに安全を感じる必要があります。そして
- あなたが共有するために選んだ機密情報を保護する責任はあなたの顧客にあります。
次に、SSL / TLSの仕組みを見てみましょう。
公開鍵、公開鍵、およびセッション鍵がその鍵です。
SSL / TLSを使用して機密データをオンラインで転送するとき、ブラウザとそれが接続している安全なWebサーバーは、安全な接続を確立するために2つの別々のキー(公開キーと秘密キー)を使用します。接続が確立されると、3番目の種類のキーであるセッションキーを使用して、送受信される情報を暗号化および復号化します。
その仕組みは次のとおりです。
- 安全なサーバー(例えばamazon.com)に接続すると、「ハンドシェイク」プロセスが始まります。
- まず、サーバーはあなたのブラウザにSSL / TLS証明書と公開鍵を渡します。
- 証明書が信頼できる発行元によって発行されたかどうか、証明書の有効期限が切れていないかどうかなどの要素を使用して、ブラウザはサーバーの証明書を確認して信頼できるかどうかを確認します。
- SSL / TLSが信頼できる場合、ブラウザは確認応答をサーバーに返して、準備ができていることを知らせます。そのメッセージはサーバーの公開鍵を使用して暗号化され、サーバーの秘密鍵を使用してのみ復号化できます。その確認に含まれているのは、ブラウザの公開鍵です。
- サーバーを信頼できない場合は、ブラウザに警告が表示されます。あなたはいつでも警告を無視することができますが、それは賢明ではありません。
- その後、サーバーはセッションキーを作成します。ブラウザに送信する前に、公開鍵を使用してメッセージを暗号化し、秘密鍵を使用しているブラウザだけが復号化できるようにします。
- ハンドシェイクが終了し、両方のパーティがセッションキーを安全に受信したので、ブラウザとサーバは安全な接続を共有します。ブラウザとサーバーの両方がセッションキーを使用して、機密データがオンラインで送受信されるときにその機密データを暗号化および復号化します。
- セッションが終了すると、セッションキーは破棄されます。 1時間後に接続しても、最初からこのプロセスを実行する必要があります。その結果、新しいセッションキーが作成されます。
サイズの問題
3つのタイプのキーはすべて、長い数字列で構成されています。文字列が長いほど、暗号化は安全になります。逆に、文字列が長いほどデータの暗号化と復号化に時間がかかり、サーバーとブラウザのリソースの両方に負担がかかります。
これがセッションキーが存在する理由です。セッションキーは、公開キーと秘密キーの両方よりもはるかに短いです。その結果、はるかに高速の暗号化と復号化が行われますが、セキュリティは低下します。
待つ - セキュリティが少ない?それほど悪くないですか?あんまり。
セッションキーは、削除されるまでの短時間しか存在しません。他の2種類のキーほど長くはありませんが、ブラウザと安全なサーバー間の接続が確立されている間の短時間のハッキングを防ぐのに十分なほど安全です。
暗号化アルゴリズム
公開鍵と秘密鍵はどちらも、3つの暗号化アルゴリズムのいずれかを使用して作成されます。
ここでは深くなりすぎません。暗号化アルゴリズムを完全に理解するには文字通り数学の学位(場合によっては複数)が必要ですが、自分のWebサイトで使用するタイプを選択するときは基本を知っておくと便利です。
3つの主要なアルゴリズムは次のとおりです。
- RSA - 作成者にちなんで名付けられました(Ron R最も新しい、Adi Sハミールとレオナルド ARSAは一連の計算で2つのランダムな素数を使用してキーを作成します。もっと詳しく知る…
- デジタル署名アルゴリズム(DSA) - 国家安全保障局(NSA)によって作成されたDSAは、一連の計算で「暗号化ハッシュ関数」を使用する2段階のプロセスを使用して鍵を作成します。もっと詳しく知る…
- 楕円曲線暗号(EEC) - EECは複雑な一連の計算で「楕円曲線の代数構造」を使用して鍵を作成します。もっと詳しく知る…
どの暗号化アルゴリズムを選択しますか?
さておき、どの暗号化アルゴリズムを使うのが一番良いでしょうか。
現在、ECCが上回っているようです。数学のおかげで、ECCアルゴリズムを使用して作成されたキーは、より長いキーと同じくらい安全でありながら、より短くなります。はい、ECCは「サイズの問題」のルールを破り、携帯電話やタブレットなどのそれほど強力ではないデバイスへの安全な接続に理想的です。
最善のアプローチはハイブリッドなものかもしれません、あなたのサーバーはそれが投げられるものは何でも扱うことができるように3つのタイプのアルゴリズムすべてを受け入れることができます。このアプローチの2つの欠点は次のとおりです。
- サーバーは、ECCのみではなく、RSA、DSA、およびECCを処理するリソースをより多く使用します。そして
- あなたのSSL / TLS証明書プロバイダーはあなたにもっと請求するかもしれません。しかし、見回すと、3つすべての使用に対して追加料金を請求しない、非常に信頼できるプロバイダがあります。
なぜTLSはまだSSLと呼ばれているのですか?
この記事の冒頭で述べたように、TLSはSSLの後継者です。 SSLはまだ使用されていますが、TLSはより洗練されたソリューションであり、SSLを悩ませていた多くのセキュリティホールを塞ぎます。
ほとんどのホスティング会社とSSL / TLS証明書プロバイダは、依然として「TLS証明書」の代わりに「SSL証明書」という用語を使用しています。
ただし、ホスティングプロバイダと証明書プロバイダのほうがTLS証明書を実際に使用していることを明確にしてください。顧客を混乱させる原因となるのは、名前を変更したくないからです。
結論
シングルソケットレイヤ(SSL)、およびその後継のトランスポートレイヤセキュリティ(TLS)は、オンラインで安全に動作するために必要です。 「キー」と呼ばれる長い数字列を使用して、SSL / TLSは、あなたの情報と顧客の情報の両方が送信前に暗号化され、到着時に復号化される接続を可能にします。
結論:オンラインでビジネスを行う場合、SSL / TLSは、お客様とお客様の両方を保護しながら信頼を築くため、継続的な成功にとって不可欠です。
Shutterstockによるセキュリティ写真
もっと:5コメントとは▼