この記事は機械翻訳されました。
TLS(Transport 積み重ねる)セキュリティは、1999年にIETF(Internet Engineering Task Force)によって確立されたプロトコルです。 TLS は、E メール、ボイスメール メッセージ、Voice over IP など、多くのアクティビティを保護するために使用されます。 しかし、このプロトコルは通常、Webブラウジングの観点から議論されます。
トランスポート積み重ねるセキュリティとは?
契約はインターネットを動かします。あなたのデバイスは別のデバイスと接触する必要があり、彼らは彼らがどのように相互作用し、行動するかを決定する必要があります。これらのルールはプロトコルであり、TLSもその1つです。
TLSプロトコルには、主に3つの機能があります。
- 識別する。 人々が有効なパートナーとつながっていることを確認します。
- 守る。 第三者からのデータ移行を保護。
- 検証:転送中にデータが調整されていないことを確認します。
TLSはプライバシーに関係しており、それはほとんどの接続された会社にとって大きな問題です概要。 例えば、Anthemは、ハッカーがサーバーに侵入し、暗号化されていない情報を見つけたため、 8,000万人の現会員と元会員 の記録を失いました。ハッカーはファイルを読み取ることができたので、ファイルを盗みました。
サーバーに接続するときはいつでも、情報を交換します。次のようなことができます。
- ユーザー名とパスワードを入力します。
- 郵送先住所を入力します。
- 銀行情報をタップします。
- 社会保障番号を入力してください。
ハッカーは、これらのピースのいずれかを手に入れたいと思っています。TLSは、次のような一般的な戦略をブロックします。
- 。 TLSプロトコルは、詐欺師ではなく、検証済みのサーバーに接続していることを確認します。
- 読書。 暗号化されたデータは、ITが解読されるまで意味不明で価値がありません。
- 変更。 検証により、ハッカーが通信中に重要な詳細を変更できないようにします。
TLSプロトコルは、デバイスとサーバーがこれらの目標を達成する方法を概説しています。
TLSの仕組みは?
暗号化は、ITが1つの場所から別の場所に移るときにデータを保護します。 しかし、暗号化は面倒で時間がかかります。サーバーがすべてをスクランブルしなければならず、その都度その権限を証明しなければならなかったら、ブラウジング体験は遅くなってしまいます。TLS はプロセスを簡素化します。
ハンドシェイクは TLS プロセスをキックオフします。 お使いのブラウザと宛先サーバー:
- 一致する。 接続中に使用するTLSバージョンを定義します。
- 選ぶ。 いわゆる「暗号スイート」は、データの暗号化方法を定義します。両当事者は、これらの条件に同意します。
- 認証。 ブラウザは、宛先サーバーにセキュリティ証明書を要求し、検証します。
- 完成。 ネゴシエーションの後、両者はセッション キーを交換し、データの転送を開始します。
お使いのブラウザと移動先サイトがこのプロセスを完了するには、時間が必要です。残念ながら、Web訪問者はせっかちです。たとえば、全モバイル ユーザーの約半数は、 読み込みに 3 秒以上かかるサイトから離れてクリックします。
新しいバージョンのTLSは軽量で、ハンドシェイクを高速化できます。このテクノロジーとの接続は迅速かつ簡単です。
TLSの違いは何ですか?
セキュリティプロトコルは数多く存在し、IT部門は互いに混同しがちです。 一部の人々はプロトコル名を同じ意味で使用するため、用語は役に立ちません。
TLS と SSL を検討してください。Secure Sockets 積み重ねる (SSL) プロトコルは、TLS の前身です。 Taher Elgamal 氏は Netscape で働いていたときに SSL を作成し、数十年後、自分の仕事と IT が提供するセキュリティを誇りに思っていると記者団に語りました。
開発者は何年もの間SSLを使用しており、彼らは頭字語に慣れていました。 ITを落とすことに抵抗があるように見えた人もいました。 たとえば、TLS プロセス中に当事者が交換するセキュリティ証明書は "SSL 証明書" と呼ばれます。
TLS と SSL の両方を使用することはできません。どちらもセキュリティプロトコルです。ただし、TLSはSSLに取って代わります。
TLS は HTTPS と同じ意味で使用されます。たとえば、Webサイトが「HTTPS」で始まるためにWebサイトがTLSを使用しているというブロガーのクレームを見たことがある場合、この混乱に遭遇したことがあります。
HTTPSはHTTPの安全な形式であり、ITはTLSを基盤として構築されています。 この 2 つは補完的であり、どちらもセキュリティの強化に取り組んでいます。しかし、それらは同じプロトコルではなく、競争相手でもありません。
TLS はバージョンごとに変更
開発者は、情報を保護するための新しくより優れた方法を探しながら、TLSをいじくり回し続けています。
TLS バージョンには、次のものが含まれます。
- TLS 1.0 です。1990年代後半にRFC 2246で記述されたこのプロトコルは、Netscapeが作成したSSL 3.0に基づいています。著者らは、両者の違いは「劇的ではない」と述べていますが、TLSはSSLよりも強力なセキュリティを提供しました。
- TLS 1.1 です。2006 年に IETF によってリリースされたこのバージョンは、セキュリティを強化し、既知の欠陥にパッチを適用します。
- TLS 1.2 です。 2008 年に IETF によってリリースされたこのバージョンは、さらに強力であり、一部の会社概要 は今日でも IT を引き続き使用しています。
- TLS 1.3 です。 2017 年にリリースされたこのバージョンは、IETF から入手可能な最新のバージョンです。
2018年、最新のブラウザは、経営陣がハッカーの腕前を懸念したため、 TLSの初期バージョンのサポートを停止しました。TLSプロトコルは広く利用可能であり、泥棒は障壁を突破し、境界を越える方法を知っていました。データはもはや安全ではなくなったため、当局は会社概要 に新しいプロトコルを採用するよう働きかけたいと考えていました。
古いバージョンをまだ使用しているサイトでは、「このサイトは安全ではありません」という警告で訪問者を迎えます。
TLSプロトコルを使用すべきか?
TLS プロトコルを使用しない場合、他のユーザーは機密情報を読み取ることができます。 ユーザー名、パスワード、クレジットカード情報などはすべて、デバイスからサーバーとの間でやり取りされる際に 危険にさらされ ています。
Webサイトの訪問者を保護することに興味がある場合、TLSプロトコルを使用することは合理的で簡単なように思われます。しかし、TLSにはいくつかの欠点があります。
TLSは長い間、ハッカーがサーバーとデバイスの間に座る、いわゆる「中間者」攻撃でアソシエイトされてきました。 通常、これはハッカーがハンドシェイクを引き継ぎ、安全性の低いTLSのバージョンについて両者に合意を強制することを意味します。それが完了すると、ハッカーは古いバージョンの脆弱性を悪用して会話を乗っ取ることができます。
新しいTLSプロトコルでは、この種の操作は許可されていません。現在、それらは安全であると考えられていますが、ハッカーはプロトコルを綿密に研究しています。IT部門は、プロトコルを突破するための新しい方法を探す可能性が高いです。
TLSの実装方法
TLSの使用を開始するのは比較的簡単です。検証済みの機関からのいわゆるSSLセキュリティ証明書が必要になります。
通常、Web ホスティング会社概要 がこれらの問題を処理します。 ホスティング会社概要 Web、証明書を定期的に更新するようにも通知します。その更新手順をスキップすると、安全なサイトとしてのステータスが失われます。
証明書を作成したら、データの保護を開始する準備が整いました。TLSプロトコルの一部である非対称暗号化の仕組みについては、 こちらのブログ投稿をご覧ください。
参考文献
Anthemが盗んだ顧客データは暗号化されていません。(2015年2月)。CNETです。
すでにTLS 1.3にアップグレードする時が来たとCDNエンジニアは言います。 (2017年6月)。CSO(最高セキュリティ責任者).
Google:モバイルユーザーの53%が、読み込みに3秒以上かかるサイトを放棄しています。(2016年9月)。マーケティングダイブ。
発明者:セキュリティの問題についてはSSLの責任はありません。(2009年5月)。CNETです。
TLS プロトコル、バージョン 1.0。(1999年1月)。インターネットエンジニアリングタスクフォース。
今月から、TLS 1.0および1.1を使用したHTTPSサイトへのアクセスをブロックするブラウザ。(2020年3月、ZD Net)
TLS の基本。インターネット社会。
暗号化トラフィックが新しいしきい値に達しました。(2018年11月)。ネットワークコンピューティング。
