SSL は、ワールド・ワイド・ウェブ (WWW) を通じて情報を転送する際にプライバシーを確保するためにサーバー上で使用される暗号化システムです。SSL が使用可能なサーバーでは、機密データをクライアントに送信する前にそれが暗号テキストに暗号化され、経路の途中で代行受信されても、第三者によるそのデータの読み取りが防止されます。サーバーからデータを受信したクライアントでは、そのデータを読み取れるように暗号テキストが暗号化解除されます。Web サーバーでの SSL の使用は、Web ブラウザーのようなクライアントと Web サーバーのようなサーバーの間で転送される情報のプライバシーを確保し、また、クライアントがサーバーの識別を認証できるようにするのに役立ちます。
サーバーとクライアントでセキュア通信のために SSL を使用するには、サーバーに公開鍵と秘密鍵のペアおよび証明書が備わっていなければなりません。サーバーは、その秘密鍵を使用して、クライアントに対するメッセージに署名します。サーバーは、署名付きメッセージが実際にサーバーからのものであることをクライアントが検証し、サーバーに対するメッセージを暗号化できるように、その公開鍵をクライアントに送信します。このメッセージは、サーバーでその秘密鍵によって暗号化解除されます。
公開鍵をクライアントに送信するために、サーバーには認証局 (CA) による証明書が必要です。この証明書には、サーバーの公開鍵、サーバーの証明書と関連した識別名、証明書の通し番号または発行日付、および証明書の有効期限が含まれます。
認証局 (CA) は、証明書を発行する信頼できる第三者 (または指定された内部権限) です。 CA は、サーバーの識別を検証し、その秘密鍵によって証明書にディジタル署名します。 この証明書が有効であるかどうかの検査には、公開鍵を使用することができます。 署名付き証明書は、サーバーの識別を 1 対の電子鍵と結合し、これを使用してディジタル情報の暗号化と署名を行います。 証明書自体は、サーバーが該当するサーバーであることを確認するために、認証局の秘密鍵を使用して署名されています。
Web サーバーをセキュア SSL モードで操作するには、最初に、ユーザーのシステムに対する署名付き証明書を認証局から入手する必要があります。 VeriSign, Inc. は、認証局としての役割を果たす多数の会社のうちの 1 つです。 ただし、該当する書式の署名付き証明書であれば、どの認証局からものであっても使用することができます。
セキュア接続を設定する場合、 サーバー上にトラステッド CA として指定された認証局 (CA) によってディジタル署名された証明書と、 公開鍵が関連付けられていなければなりません。
証明書についてさらに詳しく確認する場合は、以下を参照してください。 - http://digitalid.verisign.com/
このセクションには、セキュリティーの概念の概要が示されています。
インターネット経由のエレクトロニック・コマース (電子商取引) の急速な成長により、セキュア・ネットワーク通信に対する要求が増大しています。さらに、私設ネットワークを介した会社内通信には、保護する必要のある機密情報の含まれていることがよくあります。
セキュア・ネットワーク通信には、次のような特性があります。
リソースは、許可された通話者のみが保護し、アクセスすることができます。 パスワード、IP アドレス、ホスト名、または SSL クライアント認証を基準としてアクセスを制限することによって、アクセス制御が確実に行われます。
通話の相手が分かれば、その人を信頼することができます。 ディジタル署名およびディジタル証明書を使用した認証によって、認証性が確保されます。
メッセージは、その送信中には更新されません。情報の保全性がなければ、送信されたメッセージと受信されたメッセージが一致することは保証されません。保全性は、ディジタル署名によって確実なものとなります。
取り引き中に通話者の間でやりとりされる情報は、プライバシーが保たれ、不正な介入があっても読み取ることはできません。 プライバシーおよび機密性は、暗号化により保証されます。
暗号化のもっとも単純なフォームは、後で受信側によって順序が元に戻されるまで読み取ることができないようにメッセージの順序を変えることです。送信側は、アルゴリズム・パターン (すなわち鍵) を使用してメッセージの順序を変更 (すなわち暗号化) します。 受信側には暗号化解除鍵があります。インターネットを経由して送信される伝送のプライバシーおよび機密性は、暗号化により保証されます。
非対称鍵の場合には、鍵のペアを作成します。鍵のペアは、相互に異なる公開鍵と秘密鍵から構成されます。秘密鍵では、公開鍵より多くの秘密暗号化パターンが保持されます。秘密鍵は他人と共用しないようにしてください。
サーバーは、その秘密鍵を使用して、クライアントに対するメッセージに署名します。サーバーは、クライアントがサーバーへのメッセージを暗号化できるように、その公開鍵をクライアントに送信します。メッセージは、秘密鍵を使用してサーバーで暗号化解除されます。ユーザーが持っているのは秘密鍵だけであるため、暗号化解除できるのはその公開鍵を使用して暗号化されたメッセージだけです。鍵のペアは、パスワードによって保護されるキー・データベースに保管されます。
対称鍵は、送信側と受信側が同じ種類のパターンを共用する旧式のモデルに従っています。この同じパターンは、次に、メッセージを暗号化するために送信側で使用され、そのメッセージを暗号化解除するために受信側で使用されます。
対称鍵を使用することのリスクは、通信したい人々と秘密鍵を共用する場合に使用する安全な移送メソッドを見つけなければならない点にあります。
Secure Sockets Layer (SSL) プロトコルでは、非対称鍵と対称鍵の両方の交換が使用されます。非対称鍵は SSL ハンドシェークに使用されます。 ハンドシェーク時には、受信側の公開鍵によって暗号化されたマスター鍵がクライアントからサーバーに渡されます。クライアントとサーバーはマスター鍵を使用してその固有のセッション鍵を作成します。セッション鍵は、セッションの残りの部分に関するデータの暗号化および暗号化解除に使用されます。 対象鍵の交換は、使用される暗号仕様 (または暗号化レベル) の交換時に使用されます。
公開鍵をクライアントに送信するために、サーバーにはディジタル証明書が必要です。この証明書は、サーバーの識別を検査する認証局 (CA) によって発行されます。
関連情報:
認証とは、他人が該当する他人であることを確認できるように、識別を検査するために使用されるプロセスです。サーバーが使用する認証には 2 つの方法があります。
ディジタル署名は、数学的に計算される固有の署名で、責任能力を保証するものです。ディジタル署名は、ユーザーの画像付きのクレジット・カードのようなものです。ユーザーにメッセージを送信している個人の識別を確認するには、送信側のディジタル証明書を調べてください。
ディジタル証明書 (またはディジタル ID) は、ユーザーとともに銀行の代表者の画像が与えられたクレジット・カードのようなものです。商店では、クレジット・カード上のユーザーの画像だけでなく、銀行の代表者の信用もあるために、ユーザーはさらに信頼されることになります。
送信側の認証性を信頼するかどうかは、送信側を認証した第三者 (個人または代理店) を信頼するかどうかが基本となります。ディジタル証明書を発行する第三者は、認証局 (CA) または証明書署名者と呼ばれます。
ディジタル証明書には次のものが含まれます。
ユーザーの識別名は、認証要求の一部として入力されます。ディジタル署名された証明書には、ユーザー個人の識別名だけでなく CA の識別名も含まれます。
次の証明書の 1 つを要求することができます。
CA は、人々がその Web サーバーおよびブラウザーにトラステッド CA 証明書として追加できるように、公開鍵と識別名を一括してブロードキャストします。CA からの公開鍵および証明書をトラステッド CA 証明書として指定した場合に、それは、ユーザーのサーバーがその CA からの証明書を持つだれでも信頼することを意味します。多くのトラステッド CA をサーバーのパーツとして備えることができます。HTTP Server には、いくつかのデフォルト・トラステッド CA 証明書が組み込まれています。トラステッド CA は、サーバーに組み込まれている IBM 鍵管理ユーティリティーを使用して追加または除去することができます。
安全に通信するためには、伝送の受信側が送信側の証明書を発行した CA を信頼する必要があります。これは、受信側が Web サーバーとブラウザーのいずれであってもあてはまります。送信側がメッセージに署名した場合に、受信側には、対応する CA の署名付き証明書およびトラステッド CA 証明書として指定された公開鍵がなければなりません。
関連情報:
公開鍵の基本構造 (PKI) とは、インターネットを通じてすべての取り引きと関係する各通話者の識別および権限を検査する、ディジタル証明書、認証局、登録権限、認証管理サービス、および X.500 ディレクトリーからなるシステムです。これらの取り引きは、財務的なこともあれば、また、申込送信権要求の起点または電子メールの作成者の確認など、識別の検査が必要な操作と関係していることがあります。
PKI は、認証取り消しリスト (CRL) の使用をサポートしています。認証取り消しリストは、取り消された認証のリストです。CRL は、証明書によってクライアントの識別を認証するためのよりグローバルなメソッドを提供するもので、トラステッド CA 証明書の妥当性の検証にも使用することができます。
CRL およびトラステッド CA 証明書は、X.500 ディレクトリー・サーバーに保管され、そこから検索されます。 X.500 ディレクトリー・サーバーへの情報の保管とそこからの検索に使用されるプロトコルは、ディレクトリー・アクセス・プロトコル (DAP) および Lightweight Directory Access Protocol (LDAP) です。 HTTP Server は LDAP をサポートしています。
情報はインターネットおよびイントラネットを通じて複数のディレクトリー・サーバーに分散させることができるため、組織では、中央設置場所と分散場所のどちらからの方法でも証明書、信頼ポリシー、および CRL を管理することができます。これにより、個々のサーバーを再構成する必要なしに、セキュア・サーバーのネットワークにトラステッド CA を追加したり、またはそこから削除できるので、信頼ポリシーをよりダイナミックなものにすることができます。
関連情報:
Secure Sockets Layer (SSL) プロトコルは、Netscape Communications Corporation によって開発されたものです。SSL によって、クライアントとサーバーの間で転送されるデータのプライバシーが確保されます。これによって、クライアントがサーバーの識別を認証することが可能になります。クライアントの識別の認証には SSL バージョン 3 が必要です。
ユーザーのサーバーにディジタル証明書があれば、SSL が使用可能な Netscape Navigator および Microsoft Internet Explorer のようなブラウザーを使用して、SSL を使用しているサーバーと安全に通信することができます。SSL を使用すると、インターネットまたはユーザーの私設イントラネット上にセキュリティーの使用が可能な Web サイトを容易に確立することができます。 SSL 経由の HTTP をサポートしないブラウザーは、HTTPS を使用して URL を要求することができません。非 SSL ブラウザーでは、安全に実行依頼する必要のあるフォームを実行依頼することができません。
SSL では、セキュリティー・ハンドシェークを使用して、クライアントとサーバーの間のセキュア接続が開始されます。このハンドシェークの間に、クライアントとサーバーが、セッションに使用するセキュリティー鍵および暗号化に使用するアルゴリズムについて同意します。クライアントがサーバーを認証し、任意選択で、サーバーはクライアントの証明書を要求することができます。ハンドシェークの後に、次のものを含めた https 要求とサーバーの応答におけるすべての情報の暗号化および暗号化解除に SSL が使用されます。
HTTPS は、SSL と HTTP を結合した固有のプロトコルです。SSL が保護する文書のような HTML 文書には、https:// をアンカーとして指定する必要があります。クライアント・ユーザーは、また、SSLが保護する文書を要求するための https:// を指定することによって URL をオープンすることができます。
HTTPS (HTTP + SSL) と HTTP は別個のプロトコルであって、別のポート (それぞれが 443 と 80) を使用するため、SSL 要求と非 SSL 要求の両方を同時に実行することができます。結果として、セキュリティーを使用しないで情報をすべてのユーザーに提供し、特定の情報はセキュア要求を作成したブラウザーにのみ提供する選択をすることができます。これは、インターネット上の小売会社が、ユーザーが商品をセキュリティーなしに一覧できるものの、注文フォームの記入およびクレジット・カード番号の送信にはセキュリティーを使用するようにできる方法です。
関連情報: