SSLって何だろう？

30.10.10 / webのこと / Author: aico

https://　…から始まるサイトをみたころがありませんか？今日はSSLについてです！

SSLとは、インターネット上で情報を暗号化し、送受信できるプロトコルです。

http://では、サーバとブラウザ間でやり取りするデータはインターネット上をそのままの形で流れています。

このため、悪うさがいると、盗聴や改ざんをされる可能性が出てきます。

暗号化していない場合の危険性についてはSSHの回でも見ましたよね。

なので、大事な情報をやり取りする時には、httpsからはじまるURI（SSL）が使用されます。

せっかくSSLによって暗号化されていても、通信相手が信頼できなければ意味がないですよね？

そのため、SSLには第三者の認証機関が、そのページの運営者が実在していると認めてくれる仕組みも組み込まれています。

なのでSSLは、銀行口座の情報等、重要な個人情報を登録するページなどでよく使われています。

WebでSSLを利用するには、認証機関に申請が必要です。ベリサイン等多くの認証機関があります。

WEBページの運営をしている人が証明書の種（keypair）を作り、運営会社の情報に証明書の種の片割れを添えて認証局に申請します。

すると、認証局は、申請内容と申請者の存在を確認し、種の片割れに認証済みマークを付け、申請者に返却します。運営者は証明書を飾る（サーバにインストール）すれば、SSLサーバ証明書が取得成功です！

実はブラウザには、既にベリサイン等の公式に認められている認証機関の情報（申請された証明書に押した印の印影）が登録されています。ブラウザはhttps通信するときはサーバにインストールされた証明書とこの印影が一致するかをチェックしています。

なので、ブラウザをつかって印影に一致しない証明書を使用しているサーバにアクセスしたい際には、この証明書は信用できる認証機関にハンコおしてもらってないけど、接続するのやめとく？それとも信用して接続する？というメッセージがでます。

ちなみに、携帯電話などは、年代によってはメジャーな認証機関が登録されていないものがあるため、世の中的には信頼できる認証機関によって認証された証明書でもエラーがでることがあります。