RFC 6176

TLS (インターネット)

[38] TLS (旧 SSL) は、TCP の上、 アプリケーション層プロトコルの下で動作する安全な輸送路を提供するプロトコルです。

[134] HTTP をはじめとするインターネット上の様々なアプリケーション層プロトコルと併用されています。

[135] 1994年に Netscape によって開発され、当初は SSL と称していました。 後に IETF に移管され TLS と改称されました。現在は最新の TLS 1.2 (と TLS 1.1TLS 1.0) が用いられています。 TLS 1.3 も開発中です。


  1. 仕様書
  2. プロトコル
  3. TLS/SSL の版
  4. TLS 拡張
  5. 下位層プロトコル
  6. 上位層プロトコル
  7. URL scheme
  8. 実装
  9. 関連団体
  10. 互換性リスト
  11. 歴史
    1. SSL 1.0
    2. SSL 2.0
    3. PCT 1.0
    4. SSL 3.0
    5. TLS
    6. SSL 2.0 の廃止
    7. SSL 3.0 の廃止
    8. 利用の指針
    9. TLS 1.3
  12. 関連
  13. メモ



[106] TLS は、 TCP などの下位層の接続の上で動作する TLS Record Protocol と、更にその上で動作する TLS Handshake Protocol で構成されます >>105

[107] TLS は単体で用いられるプロトコルではなく、 上位層アプリケーション層プロトコルセキュリティー機能を提供するものです。 TLS Handshake Protocol による所定の手続きの後、 アプリケーション層プロトコルによる送受信が TLS 上で行われます。 TLS handshake を開始するかどうかの決定方法や、 TLS によって交換された証明書をどう解釈するかは、 TLS 本体仕様の範囲外で、 上位層プロトコルやその実装により決定されるべきものであるとされています >>105

[111] 例えば上位層プロトコルである HTTP では、 サーバー証明書クライアントが検査することが規定されています (HTTPSservice identity を参照)。

[112] TLS を構成する部分プロトコルは、より細かくは次のように分解できます。

[109] その他 TLS には次のような機能やプロトコル要素があります。

[123] TLS は、上位層プロトコルに対して保安輸送路を提供するものです。

[166] TLS を構成する各プロトコルは、 TLS 仕様上のデータ構造をバイト列として表現して送受信するものです。 仕様書では、 C 風の表記法を使って説明されています。

[167] データ構造 (struct) は、いくつかの (field) の順序のある列に名前を与えたものです。 欄は、名前が与えられており、値のが規定されています。 値の固定長のものもあれば、可変長ベクトルもあります。 固定長の値は、そのままのバイト列で表現されます。 可変長の値は、実際の値の長さを表す数値の後に実際の値のバイト列となります。 可変長ベクトルは最小と最大の長さが規定されており、 長さの数値は最大の長さを表現可能な数値型で表されます。 >>165

[168] つまり、データ構造全体のバイト列の長さは、読んでみるまでわからないかもしれません。 またデータ構造によっては前の方のの値により後の方のの有無が条件分岐することもあります。
[169] データ構造の名前やの名前は仕様上のもので、 実際のプロトコル上のデータには現れません。


[14] TLS は1994年以来脆弱性の修正などで改善を続けており、 次の各版があります。各版は互いに区別可能ですが、互換性はないそれぞれ独立したプロトコルです (異なる版の実装が通信することはできません)。

  1. [19] SSL 1.0 (1994)
  2. [20] SSL 2.0 (1995)
  3. [21] PCT 1.0 (1995)
  4. [22] SSL 3.0 (1996)
  5. [23] TLS 1.0 = RFC 2246 (1999)
  6. TLS 1.1 = RFC 4346
  7. TLS 1.2 = RFC 5246
  8. TLS 1.3

[96] SSLNetscape が開発し、同社サイトおよび Internet Draft として出版しています (SSL/1.0Netscape 社内のみだった模様)。 PCTMicrosoft が開発し、 Internet Draft として出版しています。 TLSIETF (ietf-tls) が開発し、 RFC として出版しています。

[30] SSL 3.0 までは脆弱性のため廃止されています。 SSL 2.0SSL 3.0 を使ってはなりません >>153, >>161TLS 1.0TLS 1.1 はまだ安全と考えられていますが、積極的に使う理由はありません。 TLS 1.0TLS 1.1 は、それより新しい版が使えない場合を除き、 使うよう折衝するべきではありません >>153

[124] Webプロトコルマーク付け言語後方互換性を最重要視して開発されていますが、 TLSセキュリティーに関わる機能であり、例外的に非互換変更が許容されています。

[156] 実装は TLS 1.2 に対応しなければなりません折衝時は TLS 1.2 を以前の版より優先させなければなりません>>153

[207] つまり SSL はすべて廃止済みで既に用いられていないのですが、 TLS よりも SSL の方が馴染み深く TLS だと通じないこともあるため、 敢えて併記したりすることが今後も続きそうです。

[208] 既に浸透していたプロトコル名を変えることも無かったと思うのですが、 外部から提出されたプロトコルの名前や用語やプロトコル自体を好き放題に改変するのは IETF のお家芸なので仕方なかったのでしょうし、今更変えるのも難しそうです。

[155] TLS とは別に、 UDP で用いる DTLS があります。

[152] DTLS 1.0TLS 1.1DTLS 1.2TLS 1.2 に相当します >>153

TLS 拡張#

[130] TLS 拡張 (extension) >>128 は、当初の SSL 仕様に含まれていなかった機能です。 拡張と呼ばれてはいますが、そのうちのいくつかは必須、または実質的に必須となっています。

[131] TLS Handshake ProtocolClientHelloServerHello には、 TLS の拡張仕様に基づくデータを含めることができます。

[132] 証明書拡張とは関係ありません。

[133] TLS 拡張については、IANA登録簿 >>129 があります。

[149] 次のような TLS拡張があります。

0SNIFirefox, Chrome, IE
13172next_protocol_negotiationNPNFirefox, Chrome
16ALPNFirefox, Chrome
TLS False Start
65281renegotiation_infoTLS renegotiationFirefox, IE
5status_requestOCSP staplingFirefox, Chrome, IE
13signature_algorithmsFirefox, Chrome
10supported_groupsFirefox, Chrome, IE
11ec_point_formatsFirefox, Chrome, IE
35SessionTicketセッション再開 (session ticket)Firefox, Chrome

[231] TLS証明書で使われる証明書拡張とは別なので注意。


[90] TLS は、 TCP/IP 上で用います。

[91] HTTP CONNECTSOCKSUnix domain socketEAP-TTLS のようなトンネル等のプロトコルの接続が下位層輸送路の一部または全部として用いられることもあります。

[92] TCP 緊急データの取り扱いは明文化されていません。

[171] ChromeFirefox緊急データを無視するようです。 IE は無視しないようです (ただちにエラーとするのか、 周りのデータと区別せずに処理するのかは不明)。

[158] 下位層で意図的または障害等により接続が閉じられた際の TLS 実装の行うべき処理は不明です。


[54] アプリケーション層プロトコルによって TLS の使い方はいくつかの種類があります。

[55] 次のプロトコルTCP のかわりに TLS over TCP を使います。

[56] 次のプロトコルSTARTTLS やそれに類する仕組みでプロトコル内で平文から TLS に切り替えます。

[67] IETFTLS over TCP で別のポートを割り当てる方法は好ましくない >>66 と考えているようです。1997年12月の IETF 会議で Applications Area DirectorsIESG により、 別のポートを発行することを非推奨とするべきと再確認しました >>12。 以後の IETFプロトコルSTARTTLS やそれに類する方式で途中で平文から TLS に切り替えるようになっています。

[69] しかしそれ以前から別のポートを割り当てて使うのが一般的になっていた HTTP/HTTPS については、その後も別々のポートが使われています。 IETF はその決定の後2年経過しても Web では新方式に移行できていないとして、 従来の HTTPS 方式を情報提供RFC (RFC 2818)、 Upgrade: ヘッダーを使って平文から TLS に切り替える方式を提案標準 (RFC 2817) として出版し、IPP など新しい応用は後者を使うべき >>12 としました。結局前者の方式が生き残り、 後者は有名無実化しています。

[115] TLS を使うアプリケーションプロトコルは、次のような事項を規定する必要があります。

[176] TLS の実装は、アプリケーションに対して次の情報を提供する必要があります。

TLS プロトコルの版
アプリケーションは結果に応じて接続を拒否したり (例: HTTP/2)、非安全なものとして扱ったり、利用者に情報を表示したりできます。
折衝結果の cipher suite
アプリケーションは結果に応じて接続を拒否したり (例: HTTP/2)、非安全なものとして扱ったり (例: Fetch)、 利用者に情報を表示したりできます。鍵長その他の引数も必要です。
error alert
少なくても受信した事実を知らせる必要があります。 アプリケーションはそれにより挙動を変えることがあります (例: HSTS)。
相手の証明書 (とあれば中間証明書) を知らせる必要があります。
SNI ホスト名
サーバーでは、 SNIホスト名の指定があれば、 それを使いたいかもしれません。
ALPN プロトコル
ALPN によりプロトコルが折衝されていれば、 それを知らせる必要があります。

[39] Web では TLS 関連の次のような機能があります。

URL scheme#

[36] SSLTLS を使う場合の URL は、使わない場合の URL scheme の末尾に s を付け足すのが慣例となっています。

[37] 例えば、 HTTPURL schemehttp: ですが、 HTTPTLS を組み合わせる場合の URL schemehttps: です。

[216] mongodb: は、 queryssl=true / ssl=false (既定値) と記述することで TLS の利用の有無を指定します。


[151] TLS の実装は多数あります。 Unix 系の環境で動作するソフトウェアやオープンソースソフトウェアの多くは OpenSSL を使っています。

[227] TLS の実装

[136] TLS 関連 API ドキュメント:

[256] Modern TLS/SSL on 16-bit Windows, , https://www.dialup.net/wingpt/tls.html



[71] mozilla-aurora: security/manager/ssl/src/IntolerantFallbackList.inc@e8f0fd3fbd3b ( 版) https://hg.mozilla.org/releases/mozilla-aurora/file/tip/security/manager/ssl/src/IntolerantFallbackList.inc

[72] 1133187 – Fallback whitelist update: mid-February 2015 ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=1133187


SSL 1.0#

[87] SSL/1.0 は1994年に Netscape 社内で開発されて、公開されていないと言われています。

SSL 2.0#

[80] 次の版が存在したようです >>79, >>73

PCT 1.0#

[95] IE が実装していました。

SSL 3.0#

[76] SSL Version 3.0 ( 版) http://web.archive.org/web/19970709162834/http://home.netscape.com/newsref/std/SSL.html

Netscape expects to ship products that conform to the March specification. Please note that Netscape server products with SSL V3.0 support both SSL 2.0 and SSL 3.0 protocols (SSL 3.0 was designed to allow this for transition purposes). SSL 2.0 has a limited lifetime.

[77] Netscape SSLRef 2.0 ( 版) http://web.archive.org/web/19970709162841/http://home.netscape.com/newsref/std/sslref.html

SSLRef is a reference implementation from Netscape Communications of the SSL protocol. Available now and free for noncommercial use, SSLRef is intended to aid and accelerate developers' efforts to provide advanced security within TCP/IP applications using the SSL (Secure Sockets Layer) protocol. Netscape SSLRef consists of a software library distributed in ANSI C source-code form that can be compiled on a wide variety of platforms and operating systems and linked into any TCP/IP application program.



SSL 2.0 の廃止#

[192] SSL 3.0 が実装されてすぐに消滅すると思われた SSL 2.0 は、結局その後もずるずると使われ続けてしまいます。

[193] 00年代半ば頃になってようやく SSL 2.0 の実装からの削除が始まりました。 には IETF から RFC 6176 が出版され、 SSL 2.0 の利用禁止が明文化されました。

[194] これを根拠に SSL 2.0廃止されたという人もいますが、 正確な表現ではありません。 SSL 3.0 が発表された95年末ないし96年に改訂により事実上廃止されたともいえますが、 その後数年 SSL 2.0 の実装が残り続けたことを考えると、それもまた不正確な表現かもしれません。

SSL 3.0 の廃止#

[196] TLS 1.0TLS 1.1TLS 1.2 の出版後も、 SSL 3.0 は古くて相対的に安全性の低いものとなったとはいえ、 危険ではないと認識されていました。ガラケーや古い IE のような更新されない実装が TLS 1.0 に対応していなかったため、 SSL 3.0 は引き続き広く使われていました。

[197] ところが2014年に POODLE 脆弱性が発見され、 ついに SSL 3.0 は危険であると判明しました。 これをきっかけに急速に SSL 3.0 への対応は打ち切られてゆき、 TLS 1.0 以上への移行が進みました。

[163] 2015年6月に出版された RFC 7568 は、 SSL 3.0 を使ってはならないと規定しています。禁止しているのになぜか非推奨と称しており、 廃止ではありません。 SSL 3.0RFC である RFC 6101廃止はされていませんが、これは元々 Historic で発行されたものなので廃止は必要ないという判断なのでしょうか。

[195] IETF の文書が論理性を欠くのは通常営業なので、 あまり細かいことを詮索しても仕方がないかもしれません。


[154] BCP 195 (RFC 7525) >>153 は、 2015年時点の TLSDTLS の利用に関する推奨事項を規定しています。

[183] HTTP/2TLS の利用に関してかなり踏み込んだ規定を含んでいます。 2015年時点で報告されている脆弱性などを踏まえて利用できる TLS の機能や cipher suite などに様々な制限を加えています。

TLS 1.3#

[182] TLS 1.2 の改訂版として TLS 1.3IETF で開発されています。


[40] DTLSTLS から派生したプロトコルですが、 TCP ではなく UDP の上で動作します。


[57] SSLSSH は関係ありません。


