SSL/TLSの歴史

一般的なインターネット利用者にとっては、SSLといえば、インターネット上で「IDパスワードの入力」「クレジットカード決済」「オンラインバンキング」等の重要な通信をするときに、安全を保証してくれる技術で、『暗号化とかをしてくれるんだったかな?』というくらいの理解だと思います。
もちろん、安全な通信のための技術であるのは間違いないのですが、以下の表のように、変更・改良を繰り返されており、完璧なものでは無かったということも事実でした。途中で名前もSSLからTLSに変わっており、現在一般的に使われているのはTLS1.2になります。

SSL/TLSの歴史:

プロトコル
バージョン
公開された時期
SSL 1.0 NetScape社内のプロトコルレビューの段階で脆弱性が発見されたため、実装した製品はない
SSL 2.0 1994年にNetScape社が発表
SSL 3.0 1995年にNetScape社が発表、2011年に歴史的文書という位置付けでRFC化され、RFC6101 が公開された
TLS 1.0 1999年制定、RFC2246
TLS 1.1 2006年制定、RFC4346
TLS 1.2 2008年制定、RFC5245
TLS 1.3 現在、標準化作業中

SSL/TLSには、去年から今年にかけて、弊社の技術者も驚くような脆弱性
(HeartBleed・POODLE・FREAK等)が、立て続けに公表され、その安全性についても、疑問を抱かざるをえない状況であります。クラウドへのアクセスコントロールサービスを提供する弊社として、特に「Strong Authentication」の観点から、この状況をどのように考えているか、その辺りのことはまた別の機会に書いていきたいと思います。

2015-04-13T18:49:40+09:002015.04.13|Categories: セキュリティウォッチ|