SSL1.0

ネットスケープコミュニケーションズ社がSSLの最初のバージョンとして設計していたが、設計レビューの段階でプロトコル自体に大きな脆弱性が発見され、破棄された。
このため、SSL1.0実装した製品はありません。

SSL2.0

ネットスケープコミュニケーションズ社はSSL1.0の問題を修正して再設計し、1994年にSSL2.0として発表しました。
また、同社のウェブブラウザであるNetscape Navigator1.1においてSSL2.0を実装しました。
その後、SSL2.0にもいくつかの脆弱性が発見され、SSL3.0において修正されました。
SSL2.0の脆弱性のひとつは、ネゴシエーションの情報を改竄すると、提示する選択肢のうち最弱のアルゴリズムを使わせることができ(ダウングレード攻撃)、改竄を受けたことを検出できないというものである。
さらに悪いことに、この脆弱性を利用すると、双方がSSL3.0をサポートしていてもSSL2.0で接続させることさえ可能になります。

互換性

SSL3.0ではSSL2.0との互換性を提供するにあたり、乱数領域を使った細工を加えることで、このような攻撃を検出する仕組みを組み込みました。
しかし一部の製品においてこの細工の実装に問題があったため、結局のところ無視されていることが多いです。
SSL3.0以降に対応した実装が十分に普及したものとして、Internet Explorer 7やMozilla Firefox2、Opera9などは、初期状態でSSL2.0を無効にしています。
この決定を受け、SSL2.0しか対応していなかったサーバでも、SSL3.0以降へ対応する動きが広まっています。
SSL2.0にはチェーン証明書がありません。
したがって、ルートCAから発行したSSLサーバ証明書しか使うことができません。

01 SSLの正しい知識、もってますか?TOP
当サイトのトップページです。
02 SSLとは
SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する方法のひとつです。
03 バージョン
SSLにおける各バージョンについて説明します。
04 提供する機能
SSLは暗号化、認証、改竄検出の機能を提供します。具体的なアルゴリズムはそれぞれ複数の選択肢が定義されており、SSL通信の開始時に行われるネゴシエーション時に、双方が許容するアルゴリズムの中からそれぞれ一つが選択されます。
05 アプリケーション層プロトコルへの適用
アプリケーション層プロトコルへの適用について説明します。
06 セキュリティー上の考察
セキュリティー上の問題点を考えてみます。
07 証明書の正当性
証明書の正当性について説明します。
08 鍵の強度
鍵の強度について考えてみます。
09 共通鍵暗号
共通鍵暗号について説明します。
10 フィッシング
インターネットのWWWやEメール等を使った詐欺の一種。フィッシング詐欺のうち、特定の個人、団体を標的としたものをスピアフィッシングもしくはスピア型と呼びます。