基本情報
概要
OpenSSL(オープンエスエスエル)とは、オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。
「SSL」とは
SSL(Secure Sockets Layer)とは、インターネット上で通信を暗号化する技術です。安全な接続を行う場合に有効な仕組みです。第三者によるデータ盗聴/改ざんなどを防ぐことができます。
公開鍵を使った安全な通信路をつくるための基盤を「PKI(Public Key Infrastructure)」といいます。SSLもPKIの中の1つの暗号化通信プロトコルです。
SSLは、主に2つの機能を提供します。「信頼性担保」と「暗号化による安全性の担保」です。
URLに「https」のように「s」が付いて表示されている場合、SSLで接続されている(安全度が高い)サイトとなります。
基本説明
OpenSSLは、暗号化プロトコル「SSL」を利用するために必要な機能を提供する暗号化ライブラリです。
コアとなるライブラリ(C言語実装)は、基本的な暗号化関数/さまざまなユーティリティ関数を実装しています。SSLライブラリ、暗号化ライブラリ、コマンドラインツールで構成されています。
各種プログラミング言語/OSに対応しています。各種プログラミング言語用にOpenSSLライブラリを利用できるようにするためのラッパーも用意されています。
さまざまなソフトウェアに暗号通信機能を組み込む手段として、世界レベルで幅広く利用されています。
セキュリティの根幹を支えるソフトウェアなのですが、セキュリティホールが多く、大きな脆弱性問題を多数引き起こしています。
経緯
OpenSSLは、オーストラリアの「Eric A. Young」と「Tim J. Hudson」による「SSLeay」というソフトウェアを基にしています。その後、ボランティア組織「OpenSSL Project」によって「OpenSSL」となりました。
最初にリリースされたのは1998年で、その後、Google、Amazon、Facebookといった企業が使い始め、世界中のWebサーバに普及していきました。
2006年、アメリカ国立標準技術研究所(NIST)に承認された初めての暗号ソフトウェアとなりました。
OpenSSLで起きた主な脆弱性
2006年「Debianの弱い鍵」問題
擬似乱数生成器が正しく動作しなくなり、生成される暗号鍵が予測可能なものとなってしまった脆弱性です。
2014年「Heartbleed」問題
サーバ側メモリを読むことで、機密情報にアクセスが可能となる脆弱性でした。この脆弱性が2年間気付かれずに放置されていたため、OpenSSL史上、最悪な事件となりました。
2014年「CCS Injection Vulnerability」問題
過去のOpenSSLのほとんどのバージョンが該当し、「一時的な暗号鍵が、第三者でも予想できてしまう」という脆弱性でした。
2016年「DROWN攻撃」問題
「新しいプロトコルであるTLSを使ったクライアントとサーバ間の接続を復号化できる」という脆弱性でした。
「OpenSSL」フォーク製品
OpenSSLの「Heartbleed」事件を受け、OpenSSLから「LibreSSL」がフォークされました。コードを一新してセキュリティと安定性を改善することを目指しています。
Googleは、OpenSSLから「BoringSSL」をフォークさせました。OpenSSL、LibreSSL双方の開発者と協力していくとしています。
主な機能
ポイント
・BIOによるI/Oの抽象化
・コマンドラインインターフェイス
・豊富な暗号方式 (暗号スイート一覧)
・マルチスレッド対応
・Re-Negotiation
同様製品(概要情報)
同様な機能を提供する製品として、次のようなものがあります。
オープンソース製品:「LibreSSL」「BoringSSL」「GnuTLS」など。
導入事例
SSL技術を支えるデファクトスタンダードとして、世界規模で圧倒的シェアがあります。
ライセンス情報
OpenSSLのライセンスは、「Apache License 1.0」「四条項BSDライセンス形式」のデュアルライセンスです。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。
ダウンロード
※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。
