6月30日SSL/TLS 1.0無効化!ECサイト運営者も知っておきたい情報セキュリティ
インターネットショッピングがすっかり定着した現代では、毎日世界中で途方も無い金額の取引がインターネットを介して行われています。そして大きなお金が動けば動くほど、悪いことを企む人たちも現れるわけですが、そんなネット犯罪に巻き込まれるリスクを少しでも小さくしようという取り組みも多くなされています。
中でもポピュラーなネットセキュリティの一環として導入されるのがSSL/TLS認証です。今となっては世界中で使われているこの認証システムですが、どういった脅威からどのように私たちの生活を守り、そしてなぜECサイトにとって重要なのでしょうか。
最新情報も交えて、SSL/TLS認証について解説します。
ここではSSL/TLS認証の基本情報と、2018年6月以降のTLS 1.0廃止について解説します。
SSLと併用されることの多いTLS(Transport Layer Security)も、役割や暗号化の仕組みに大きな違いはありません。むしろ、世界中で利用されているSSLと呼ばれているもののプロトコルの多くがTLSといわれています。
これはどういうことかというと、TLSは「SSLの最新型」という位置付けであり、言い換えればSSLは前時代的なシステムという位置付けになっているためです。
SSLは1994年に米国からリリースされたシステムで、アップデートを重ねてSSL 3.0までリリースされました。このSSL 3.0の発展形が、TLSです。
しかし、TLSが普及するまでにはすでにSSLという名称が定着していたため、混乱を避けるために「SSL/TLS」という表記が一般化しました。
名前は異なるものの、基本的な構造に違いはなく、SSLという呼び方で両方を指すと考えても問題ありません。
認証書の発行プロセスの中でサイト運営者および組織が実際に存在するものであるかどうか確認し、証明書発行者がそのサイトに暗号化通信の利用を許可することで、SSLによる通信が可能になります。
それゆえ、SSLは誰もがいつでも自由に利用できるわけではありません。誰でも利用することはできますが、利用するためには、自分が不審な運営者でないことを第三者にまず証明しなくてはならないのです。
パソコンやスマートフォン、ゲーム機など端末によって使用できるバージョンはそれぞれ異なり、ブラウザやメールソフトによっても対応バージョンは違います。
今回廃止になるのは、TLS 1.0というバージョンのTLSです。
TLS 1.0にはBEAST、POODLEといった脆弱性があることが報告されています。つまり、悪意のある第三者がその脆弱性を突いて攻撃することにより、暗号化したデータが読まれてしまったり、改ざんされてしまったりする可能性があるということです。
2018年6月30日をもってTLS 1.0を廃止するという決定は、実は三年前にすでに下されていました。2015年にこの決定を下したのは、クレジットカード業界のグローバルセキュリティ基準「PCI-DSS」です。今すぐ攻撃される恐れがあるわけではないが安心しての利用はできないということで、基準改定をおこなったのです。
エンドユーザー(消費者)のアクセス環境により、サイトを見られない、通信がおこなえないといった影響が出ることが想定されます。
SSL/TLSは銀行やECサイトなど、クレジットカード関連情報やパスワードといった個人情報をやり取りするサイトでよく利用されているため、これらの利用に影響が生じる可能性が考えられます。注文内容の確認などで不可欠なメールの送受信に関しては、
また、APIリクエストに関しても、利用しているcurlのバージョンが古いなどの理由により、リクエストが正常に通らなくなってしまう可能性があります。
とはいえ、クレジットカード業界をはじめとして、流出や改ざんを危惧すべき個人情報を扱うサイトではTLS 1.1以上の準拠が進んでいて、共用サーバーサービスにおいてはサーバー側が一括でTLS 1.0を無効化することも。TLS 1.0無効化については、ウェブサイトだけでなく、メールソフトやメールサーバーにも対策が必要になるため、自社サイトにどれくらいTLS 1.0での接続があるのかを調査し、データを元に対応を検討すると良いかもしれません。
ちなみに、SSL証明書については買い直す必要はありません。基本的に、TLS 1.0にしか対応していないSSL証明書は存在しないからです。つまりTLS 1.0が廃止されたからといって、新たにSSL証明書を買い直す必要はないのです。
「公開キー暗号方式」は、公開キーと秘密キーという二つの鍵を使います。秘密キーは受信者のみが所有し、公開キーと組み合わせて使用することではじめて暗号化されたデータを閲覧できる方式です。この方式は秘密キーを持っている人しか情報を閲覧できません。ただし、秘密キーの情報が漏洩すると第三者でも暗号化されたデータに接触される可能性があります。
そのため、受信者は秘密キーをしっかりと管理する必要があります。
キーの管理には注意が必要ですが、一つのキーで通信をおこなうため処理速度が速いというメリットがあります。
なお、共通キーは、送受信者のペアの数だけ用意しなければなりません。ペアの数が増えれば増えるほど、ECサイト管理者など受信側はキーの管理が煩雑になる傾向があります。
実際のSSLを利用した通信においてキーのやり取りが可視化されているわけではありませんが、暗号化通信にはこのような過程があることを理解しておいて損はないでしょう。
TwitterやFacebook、Amazonといった大手サイトはもれなく導入しているため、これらのサイトを参考にして見分けることができます。
認証手続きには、第三者によるデーターベース確認などの処理が必要になるため、審査はドメイン認証のみより厳格であり、時間もかかります。
EV認証では、企業の法的な実在の証明に加えて、現実世界に企業ないし組織が存在しているという証明も必要です。法的な実在証明であれば書類の審査のみで完了しますが、EV認証では、企業が実際にオフィスを構えていることまで証明しなければなりません。企業実在認証よりも、さらに時間と手間のかかる認証といえます。
その代わり、信頼性は三つの認証の中でも最高レベルです。アドレスの横に、運営者の組織名が表示されるようになります。
SSL認証のないサイトは、ブラウザ側で警告表示を出す措置が取られることもあり、「SSL認証のないサイト=安全なサイトではない」という判断がなされることも。6月30日以降にTSL 1.0が廃止されることもあり、サイトのセキュリティの重要性は高まる一方といえそうです。
>>お問合せはこちらから
中でもポピュラーなネットセキュリティの一環として導入されるのがSSL/TLS認証です。今となっては世界中で使われているこの認証システムですが、どういった脅威からどのように私たちの生活を守り、そしてなぜECサイトにとって重要なのでしょうか。
最新情報も交えて、SSL/TLS認証について解説します。
- 2018年6月30日以降、SSL/TLS 1.0はいくつかの脆弱性を理由に廃止される
- SSLと TLSは同じもので、二つの暗号方式と三種類の認証方法がある
- 今後、セキュリティの必要性はますます高まる傾向に
SSLとTLSの違いとは
SSL/TLS認証はネットの安全を守る認証システム
SSL/TLS認証は、ポピュラーなネットセキュリティの一貫として導入されている認証システムです。世界中で使用されていますが、具体的にどのような仕組みではたらいているか、またどのような脅威からインターネットを守ってくれているか、ご存知ないという方も少なくないかもしれません。ここではSSL/TLS認証の基本情報と、2018年6月以降のTLS 1.0廃止について解説します。
SSLとTLSの違い
SSL(Secure Socket Layer)は、通信を暗号化することで、第三者による通信内容の傍受や改ざんを防ぐためのプロトコルです。SSLを利用しない一般的なインターネットの場合は、データがそのままの状態でやり取りされるため、第三者による通信への介入を防ぐことができません。ですが、SSLを利用することによって、データの送受信者のみにしか分からない情報伝達が可能になります。SSLと併用されることの多いTLS(Transport Layer Security)も、役割や暗号化の仕組みに大きな違いはありません。むしろ、世界中で利用されているSSLと呼ばれているもののプロトコルの多くがTLSといわれています。
これはどういうことかというと、TLSは「SSLの最新型」という位置付けであり、言い換えればSSLは前時代的なシステムという位置付けになっているためです。
SSLは1994年に米国からリリースされたシステムで、アップデートを重ねてSSL 3.0までリリースされました。このSSL 3.0の発展形が、TLSです。
しかし、TLSが普及するまでにはすでにSSLという名称が定着していたため、混乱を避けるために「SSL/TLS」という表記が一般化しました。
名前は異なるものの、基本的な構造に違いはなく、SSLという呼び方で両方を指すと考えても問題ありません。
暗号化通信と証明書
SSLを用いた暗号化通信は、証明書を発行することで可能になります。証明書といっても紙ではありません。電子媒体としてデータでやり取りされるものを指します。認証書の発行プロセスの中でサイト運営者および組織が実際に存在するものであるかどうか確認し、証明書発行者がそのサイトに暗号化通信の利用を許可することで、SSLによる通信が可能になります。
それゆえ、SSLは誰もがいつでも自由に利用できるわけではありません。誰でも利用することはできますが、利用するためには、自分が不審な運営者でないことを第三者にまず証明しなくてはならないのです。
2018年6月30日をもってTLS 1.0は廃止に
TLS 1.0廃止の理由は脆弱性
プロトコルは暗号化通信のための手順書であり、バージョンによって違いがあります。パソコンやスマートフォン、ゲーム機など端末によって使用できるバージョンはそれぞれ異なり、ブラウザやメールソフトによっても対応バージョンは違います。
今回廃止になるのは、TLS 1.0というバージョンのTLSです。
TLS 1.0にはBEAST、POODLEといった脆弱性があることが報告されています。つまり、悪意のある第三者がその脆弱性を突いて攻撃することにより、暗号化したデータが読まれてしまったり、改ざんされてしまったりする可能性があるということです。
2018年6月30日をもってTLS 1.0を廃止するという決定は、実は三年前にすでに下されていました。2015年にこの決定を下したのは、クレジットカード業界のグローバルセキュリティ基準「PCI-DSS」です。今すぐ攻撃される恐れがあるわけではないが安心しての利用はできないということで、基準改定をおこなったのです。
TLS 1.0廃止の影響とは
TLS 1.0廃止により、ECサイトにも影響が出ることが考えられます。エンドユーザー(消費者)のアクセス環境により、サイトを見られない、通信がおこなえないといった影響が出ることが想定されます。
SSL/TLSは銀行やECサイトなど、クレジットカード関連情報やパスワードといった個人情報をやり取りするサイトでよく利用されているため、これらの利用に影響が生じる可能性が考えられます。注文内容の確認などで不可欠なメールの送受信に関しては、
- 送受信側のメールソフト
- 送信者のSMTPサーバー
- 受信者のPOPサーバー
また、APIリクエストに関しても、利用しているcurlのバージョンが古いなどの理由により、リクエストが正常に通らなくなってしまう可能性があります。
TLS 1.0を継続利用するリスクとは
TLS 1.0廃止の動きはあくまで勧告であり、6月30日をもって一斉廃止になるわけではありません。そのため、非推奨ではあるものの個人情報を扱わないサイトでは引き続きTLS 1.0のまま運用する選択肢もあります。とはいえ、クレジットカード業界をはじめとして、流出や改ざんを危惧すべき個人情報を扱うサイトではTLS 1.1以上の準拠が進んでいて、共用サーバーサービスにおいてはサーバー側が一括でTLS 1.0を無効化することも。TLS 1.0無効化については、ウェブサイトだけでなく、メールソフトやメールサーバーにも対策が必要になるため、自社サイトにどれくらいTLS 1.0での接続があるのかを調査し、データを元に対応を検討すると良いかもしれません。
ちなみに、SSL証明書については買い直す必要はありません。基本的に、TLS 1.0にしか対応していないSSL証明書は存在しないからです。つまりTLS 1.0が廃止されたからといって、新たにSSL証明書を買い直す必要はないのです。
SSL通信の方式と見分け方
公開キー暗号方式
SSLの暗号化通信は、送受信者がそれぞれ解読のためのキーを持つことで第三者に覗かれることなくデータをやり取りする仕組みです。「公開キー暗号方式」は、公開キーと秘密キーという二つの鍵を使います。秘密キーは受信者のみが所有し、公開キーと組み合わせて使用することではじめて暗号化されたデータを閲覧できる方式です。この方式は秘密キーを持っている人しか情報を閲覧できません。ただし、秘密キーの情報が漏洩すると第三者でも暗号化されたデータに接触される可能性があります。
そのため、受信者は秘密キーをしっかりと管理する必要があります。
共通キー暗号方式
「共通キー暗号方式」は、共通キーという一つの鍵で「データの暗号化」と「暗号解読」をおこなう方式です。公開キー暗号方式とは違って、送受信者が同じキーを用いてやり取りするため、共通キーの情報が漏洩しないよう、気をつけなければなりません。キーの管理には注意が必要ですが、一つのキーで通信をおこなうため処理速度が速いというメリットがあります。
なお、共通キーは、送受信者のペアの数だけ用意しなければなりません。ペアの数が増えれば増えるほど、ECサイト管理者など受信側はキーの管理が煩雑になる傾向があります。
実際のSSLを利用した通信においてキーのやり取りが可視化されているわけではありませんが、暗号化通信にはこのような過程があることを理解しておいて損はないでしょう。
SSLを用いた通信の見分け方
SSLを用いた通信がおこなわれているかどうかは、ブラウザのURL欄の左側をチェックすれば確認できます。- SSLを導入していないサイト 南京錠のマークなし http://~
- SSLを導入しているサイト 南京錠のマークつき https://~(sがついている)
TwitterやFacebook、Amazonといった大手サイトはもれなく導入しているため、これらのサイトを参考にして見分けることができます。
三種類のSSLサーバ証明書
ドメイン認証
SSLの利用に必要な第三者による証明書は、運営元によって異なる三種類に分けることができます。一つ目のドメイン認証は、証明書に記されているドメインの使用者であることを認証するものです。組織や個人の実在を証明する必要はなくオンラインのやり取りのみで証明できるため、三つの認証の中で最もシンプルかつ短期間で取得できる認証です。企業実在認証
二つ目の認証が企業実在認証です。これは、ドメインの認証に加えてサイト運営元の企業が法的に存在しているかどうかを証明する必要があります。ウェブサイトの運営元が明らかにしているため、ドメイン認証よりも信頼性の高い認証といえます。認証手続きには、第三者によるデーターベース確認などの処理が必要になるため、審査はドメイン認証のみより厳格であり、時間もかかります。
EV認証
三つの認証のうち、もっとも信頼度の高い認証が三つ目のEV認証です。EV認証では、企業の法的な実在の証明に加えて、現実世界に企業ないし組織が存在しているという証明も必要です。法的な実在証明であれば書類の審査のみで完了しますが、EV認証では、企業が実際にオフィスを構えていることまで証明しなければなりません。企業実在認証よりも、さらに時間と手間のかかる認証といえます。
その代わり、信頼性は三つの認証の中でも最高レベルです。アドレスの横に、運営者の組織名が表示されるようになります。
まとめ
サイバー犯罪は多様化かつ増加の一途をたどっており、個人で運営するサイトであってもSSL認証の必要性は高まっています。SSL認証のないサイトは、ブラウザ側で警告表示を出す措置が取られることもあり、「SSL認証のないサイト=安全なサイトではない」という判断がなされることも。6月30日以降にTSL 1.0が廃止されることもあり、サイトのセキュリティの重要性は高まる一方といえそうです。
PR:ECサイト構築パッケージ「Orange EC」ではお客様にECサイト運営のノウハウをお伝えしています
>>お問合せはこちらから