システムエンジニアの大貫です。

今回は「SSL暗号化スイート」について触れたいと思います。

「スイート」といっても、「甘い」ではなく・・・「組」という意味です。

ようするに暗号化の組み合わせということです。

SSL暗号化の手順は、以下の通りで成り立っており、それぞれ暗号化する方法や通信方法などの組み合わせを「暗号化スイート」といいます。

暗号化の組み合わせは、様々なものが有り、古いものから解読されやすいものまであるので、サーバ側で使用できる「暗号化スイート」を 制限しておく必要があります。

SSL証明書を設置したから、安心、安全という訳ではないのです！

「暗号化スイート」については、SSL証明書を設置する際に、「SSLCipherSuite」の記述を変更することで 制限が可能になります。

また、「openssl ciphers -v」コマンドを使用すると、サーバで使用できる暗号化方式がチェックできるので それを見ながら、暗号化強度の低い「暗号化スイート」を拒否する事が重要です。

【SSL暗号化手順】
１．秘密鍵(KEY)と公開鍵(CSR)をサーバ上で作成して、SSL証明書を設置。
２．クライアント（ブラウザ等）からサーバへアクセス。
３．サーバがクライアントに公開鍵を渡す。
４．クライアント側で共通鍵が作成され、公開鍵で暗号化して、サーバ側に渡す。
５．サーバ側で共通鍵を秘密鍵を使用して復号。
６．お互い共通鍵を使用して暗号化通信を行う。