HTTPS と SSL と TLS:その違いを5分でわかりやすく解説!

 HTTPS(えいち・てぃー・てぃー・ぴー・えす)、SSL(えす・えす・える)、TLS(てぃー・える・えす)という言葉を耳にしたことはありませんか?
 どれも「インターネットで情報を安全にやりとりするための仕組み」のことなのですが、なぜこのようにいろいろな呼び方があるのでしょうか、あまり聞きなれない言葉のうえに違う表現をされると困ってしまいますね。そこで今回は、HTTPS と SSL と TLS その違いをできるだけわかりやすく解説いたします。

HTTPS と SSL と TLS 広い意味では同じでOK

 冒頭にも書きましたが、広い意味では HTTPS と SSL と TLS はどれも同じものだと思っていただいてまったく問題ありません。たとえば次の言葉の意味はどれも同じです。

『こんど立ち上げるウェブサイトは「HTTPS」を使おう』
『こんど立ち上げるウェブサイトは「SSL」を使おう』
『こんど立ち上げるウェブサイトは「TLS」を使おう』

 もしかしたら、真面目なエンジニアの方に「HTTPS を使おう」または「SSL を使おう」と伝えたら、「では TLS で設定しておきますね」と返してくれるかもしれません。(この理由は後ほど説明します)これも広い意味では HTTPS と SSL と TLS が同じ意味として一般化している明かしでしょう。
 HTTPS と SSL と TLS それぞれのちょっとした違いがわかると、なぜ同じ意味だと思っても問題がないことが良くわかります。それではまず「SSL」について確認していきましょう。

SSL(えす・えす・える)とは

 SSLとは Secure Sockets Layer(セキュア・ソケット・レイヤ)の略称で、主にウェブブラウザとウェブサーバで、情報を安全にやりとりするための仕組みとして開発されました。SSL の歴史は古く、はじめて SSL が公開されたのは1994年11月のことでした。

 SSL は、次の3つの仕組みにより情報を安全にやりとりできることを実現しています。(これは TLS や HTTPS でも同じです)

●通信の暗号化(盗聴を防ぐ)
●サーバの正当性の確認(なりすましを防ぐ)
●メッセージ認証(改ざんを防ぐ)

 はじめて公開された SSL は SSL 2.0 というバージョンでした。(SSL 1.0 は諸事情により公開されていません)しかし、キュリティ上の欠陥が見つかったため、わずか1年後の1995年に SSL 3.0 が公開されました。
 それから約20年もの長いあいだ、この「SSL 3.0」が使われてきましたが、2014年10月 Googleのセキュリティチームによって「SSL 3.0」の暗号化通信を解読する攻撃(「プードル攻撃」と呼ばれています)が発見されます。これにより2015年6月「SSL 3.0」の使用は事実上禁止され「SSL」の長い歴史に幕が下されました。

 じつは現在、仕組みとしての「SSL」は使われていない(使ってはいけない)のです。現在ではこの後に説明する「TLS」が使われています、これが先ほどエンジニアの方が「TLS で設定するね」と言っていた理由です。
 しかし「SSL」はインターネットの歴史のなかであまりにも長いあいだ使われていたため、「SSL = 情報を安全にやりとりする」という意味も持つようになり、仕組みとしてはもう使われていない「SSL」ですが、言葉としては残り今も使われています。

TLS(てぃー・える・えす)とは

 TLSとは Transport Layer Security(トランスポート・レイヤ・セキュリティ)の略称です。実際に現在「情報を安全にやりとりするための仕組み」として使われているのが、この「TLS」なのですが、あまり聞きなれないのもこの「TLS(てぃー・える・えす)」ではないでしょうか。

 先ほど説明した SSL は、米ネットスケープ社(通称「ネスケ」と呼ばれるウェブブラウザを作っていた会社です)が開発を行なっていましたが、1996年5月 IETF というインターネット技術の標準化を推進する組織に管理が移され、そこで新たに「TLS(てぃー・える・えす)」と名付けられました。

 名前は違いますが、「SSL」は「TLS」の前身となる仕組みです。1999年1月に公開された TLS 1.0 は、SSL 3.0 とほとんど違いはなく SSL 3.1 とも呼ばれていましたので、「SSL」と「TLS」は兄弟のような関係と言ってもよいでしょう。

 そのため「SSL/TLS」と書かれることがよくあり、広く配布されるガイドラインなどには「SSL/TLS」と表記されているのをよく見かけます。(この記事でもこれ以降「SSL/TLS」と書くことにします)
 あまり「TLS(てぃー・える・えす)を使おう」とは言いませんが、けっして間違った表現ではありません。実際には「SSL」が使われていない現状を考えると、より正確な表現だと言えるでしょう。(ただし少し伝わりづらいかもしれません)

HTTPS(えいち・てぃー・てぃー・ぴー・えす)とは

 HTTPSは、ここまでに説明した SSL や TLS とはちょっと種類が違います。まず HTTPS の最後の「S」をとった HTTP について確認していきましょう。

 HTTPは Hyper Text Transfer Protocol(ハイパー・テキスト・トランスファー・プロトコル)の略称で、ウェブ通信をするための仕組みです。皆さんがウェブ検索で調べものをしたり、ブラウザゲームで楽しんでいる時もこの HTTP が使われています。ウェブサイトのアドレスなどで見かける「http://」は「HTTP で通信するよ!」ということを表しています。

 しかし、HTTP には情報を安全にやりとりする仕組みがありません、そこで登場するのが「SSL/TLS」です。HTTP で行われるウェブ通信に、「SSL/TLS」をくわえて「ウェブで情報を安全にやりとりする仕組み」にしたものが、「HTTPS」なのです。HTTPS は HTTP Secure(セキュア)の略称です。

 アドレスが「https://」からはじまるウェブサイトではこの HTTPS すなわち 「情報を安全にやりとりする仕組み」が使われていますので、安心してネットショッピングやインターネットバンキングができるのです。

 SSL/TLS は、ウェブ以外のメールで使われる通信なども安全にすることもできますので、「HTTPS」は「ウェブで情報を安全にやりとりする仕組み」をより具体的に表現した言葉だと言えるでしょう。
 そのため広い意味では HTTPS と SSL と TLS はどれも同じものだと思っても問題がないのです。どの言葉を使っても「情報を安全にやりとりしたい!」という思いは伝わります。

+:-:+:-:+:-:+:-:+:-:+ まとめ +:-:+:-:+:-:+:-:+:-:+

● SSL は仕組みとしては使われていないけど、「情報を安全にやりとりする」という意味の言葉として使われている
●TLS は「情報を安全にやりとりする」ために実際に使われている仕組み
● HTTPS は「ウェブで情報を安全にやりとりすること」を具体的に表現した言葉

おしまいに

 キュービストでは、このブログのようなウェブサイトやメールで使われる通信に「SSL/TLS」を導入して、お客様との情報のやりとりを安全にできることを目指しています。
 これはキュービストの情報セキュリティ目的「お客様からお預かりしたすべての情報の保護と漏洩防止」を達成するために、欠かすことのできない仕組みのひとつなのです。

■関連リンク

・コーポレートサイト
https://www.qbist.co.jp/

・お問合せ、ご相談
https://www.qbist.co.jp/contact/index.html

関連記事