マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

OSS情報

2020.01.01

【OSS情報アーカイブ】OpenSSL

【OSS情報アーカイブ】OpenSSL

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「OpenSSL」とは

基本情報

概要

OpenSSL(オープンエスエスエル)とは、オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

「SSL」とは

SSL(Secure Sockets Layer)とは、インターネット上で通信を暗号化する技術です。安全な接続を行う場合に有効な仕組みです。第三者によるデータ盗聴/改ざんなどを防ぐことができます。

公開鍵を使った安全な通信路をつくるための基盤を「PKI(Public Key Infrastructure)」といいます。SSLもPKIの中の1つの暗号化通信プロトコルです。

SSLは、主に2つの機能を提供します。「信頼性担保」と「暗号化による安全性の担保」です。

URLに「https」のように「s」が付いて表示されている場合、SSLで接続されている(安全度が高い)サイトとなります。

基本説明

OpenSSLは、暗号化プロトコル「SSL」を利用するために必要な機能を提供する暗号化ライブラリです。

コアとなるライブラリ(C言語実装)は、基本的な暗号化関数/さまざまなユーティリティ関数を実装しています。SSLライブラリ、暗号化ライブラリ、コマンドラインツールで構成されています。

各種プログラミング言語/OSに対応しています。各種プログラミング言語用にOpenSSLライブラリを利用できるようにするためのラッパーも用意されています。

さまざまなソフトウェアに暗号通信機能を組み込む手段として、世界レベルで幅広く利用されています。

セキュリティの根幹を支えるソフトウェアなのですが、セキュリティホールが多く、大きな脆弱性問題を多数引き起こしています。

経緯

OpenSSLは、オーストラリアの「Eric A. Young」と「Tim J. Hudson」による「SSLeay」というソフトウェアを基にしています。その後、ボランティア組織「OpenSSL Project」によって「OpenSSL」となりました。

最初にリリースされたのは1998年で、その後、Google、Amazon、Facebookといった企業が使い始め、世界中のWebサーバに普及していきました。

2006年、アメリカ国立標準技術研究所(NIST)に承認された初めての暗号ソフトウェアとなりました。

OpenSSLで起きた主な脆弱性

2006年「Debianの弱い鍵」問題
擬似乱数生成器が正しく動作しなくなり、生成される暗号鍵が予測可能なものとなってしまった脆弱性です。

2014年「Heartbleed」問題
サーバ側メモリを読むことで、機密情報にアクセスが可能となる脆弱性でした。この脆弱性が2年間気付かれずに放置されていたため、OpenSSL史上、最悪な事件となりました。

2014年「CCS Injection Vulnerability」問題
過去のOpenSSLのほとんどのバージョンが該当し、「一時的な暗号鍵が、第三者でも予想できてしまう」という脆弱性でした。

2016年「DROWN攻撃」問題
「新しいプロトコルであるTLSを使ったクライアントとサーバ間の接続を復号化できる」という脆弱性でした。

「OpenSSL」フォーク製品

OpenSSLの「Heartbleed」事件を受け、OpenSSLから「LibreSSL」がフォークされました。コードを一新してセキュリティと安定性を改善することを目指しています。

Googleは、OpenSSLから「BoringSSL」をフォークさせました。OpenSSL、LibreSSL双方の開発者と協力していくとしています。

主な機能

ポイント

・BIOによるI/Oの抽象化
・コマンドラインインターフェイス
・豊富な暗号方式 (暗号スイート一覧)
・マルチスレッド対応
・Re-Negotiation

同様製品(概要情報)

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品:「LibreSSL」「BoringSSL」「GnuTLS」など。

導入事例

SSL技術を支えるデファクトスタンダードとして、世界規模で圧倒的シェアがあります。

ライセンス情報

OpenSSLのライセンスは、「Apache License 1.0」「四条項BSDライセンス形式」のデュアルライセンスです。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

おすすめの記事

【デジタル寺田の3分用語解説】「 建設DX 」とは?🚧

デジタル寺田の3分用語解説

2024.12.23

【デジタル寺田の3分用語解説】「 建設DX 」とは?🚧

「 建設DX 」は、建設業界でデジタル技術を活用し、業務効率化や生産性向上を目指す取り組みです。「人材不足」「長時間労働」「生産性の低さ」「技術継承の危機」が背景にありますが、「現場のITリテラシーの低さ」が導入の障壁となっています。戦略的な推進が課題解決の鍵です。

【デジタル寺田の3分用語解説】「 カスハラ 」とは?😡

デジタル寺田の3分用語解説

2024.12.23

【デジタル寺田の3分用語解説】「 カスハラ 」とは?😡

「 カスハラ 」(カスタマーハラスメント)は、顧客からの不当な要求や迷惑行為により、従業員の精神的・肉体的健康を害する問題です。企業は「対応マニュアル策定」「研修実施」「相談窓口設置」を通じて対策を講じることで、被害を最小限に抑え、従業員を守る体制を整えることが重要です。

【デジタル寺田の3分用語解説】「 Windows10 のEOL(サポート終了)問題」と「Windows11への移行」⏳

デジタル寺田の3分用語解説

2024.12.23

【デジタル寺田の3分用語解説】「 Windows10 のEOL(サポート終了)問題」と「Windows11への移行」⏳

「 Windows10 」は、2025年10月14日にサポートが終了し、セキュリティリスクが増大します。Windows11への移行が推奨され、準備として「システム要件の確認」や「テスト」が必要です。生産性向上と安全性確保のため、早めの移行計画が重要です。