セキュリティで保護されていないネットワークを通して重要な情報を伝送すると、悪意のある第三者に傍受される危険があります。そのため、重要な財務情報や個人情報を扱う Web サイトをユーザーに提供する場合は、暗号化技術を使ってネットワーク リンクを保護する必要があります。
暗号化とは、正しい受信者以外のユーザーには元の情報の復元が困難になるように、数学の関数を使用し、情報をそのままでは理解できない表現形式に変換する処理です。この処理の中心になるのは、"キー" と呼ばれる数学的値です。関数はこのキーを使用し、複雑な独自の方法で情報を暗号化します。
Web サーバーは、本質的にこれと同じ暗号化手順を使用して、ユーザーとの通信リンクを保護します。セキュリティで保護されたリンクを確立した後、Web サーバーとユーザーの Web ブラウザは専用の "セッション" キーを使用して、情報の暗号化と解読を行います。たとえば、認証されたユーザーが、セキュリティで保護されたチャンネルを必要とする Web サイトからファイルをダウンロードする場合、Web サーバーは、セッション キーを使用して、ファイルおよび関連する HTTP ヘッダーを暗号化します。Web ブラウザは、暗号化されたファイルを受信すると、同じセッション キーのコピーを使用してファイルを復元します。
この暗号化方式は安全ですが、欠点もあります。セキュリティで保護されたリンクを確立するまでの過程で、セッション キーのコピーが、保護されていないネットワークを通して伝送されることがあります。つまり、リンクに危害を加えようとする悪意のある第三者は、セッション キーを傍受するだけでその目的を達成してしまいます。これに対する保護手段として、Web サーバーには別の暗号化方式が実装されています。
Web サーバーの Secure Sockets Layer (SSL) セキュリティ機能は、"公開キー" 暗号方式として知られる技術を利用して、伝送の際の盗聴からセッション キーを保護します。公開キー暗号方式は、"秘密" キーと "公開" キーという新しい 2 つのキー (鍵) を使用し、次の方法で機能します。
通信リンクをセキュリティで保護された状態に確実に保つうえで、秘密キーが重要な役割を担っている点に注意してください。適切な予防手段をすべて講じて、秘密キーを紛失したり盗まれたりしないように保護する必要があります。証明書をフロッピー ディスクにコピーして安全な場所に保管することにより、証明書をバックアップできます。同様に、秘密キーのセキュリティが破られた可能性がある場合は、まず証明機関にその旨を連絡します。次に、サーバー証明書ウィザードを使用して、証明書要求を新規に作成し、新しいサーバー証明書を取得します。詳細については、「新しいセキュリティ機能ウィザードを使用する」を参照してください。
セッション キーの "強度" は、セッション キー ファイルの "ビット" 数に比例します。つまり、セッション キーのビット数を多くするほどセキュリティの程度は高くなり、強制的に解読することがいっそう困難になります。
ユーザーが、セキュリティで保護された通信チャンネルを Web サーバーとの間に確立しようとするとき、ユーザーのブラウザは、そのチャンネルでの通信を保護するために使用できる最大限可能な暗号化レベル、つまりセッション キーの強度をネゴシエートして決めなければなりません。つまり、Web サーバーとユーザーのブラウザの両方が、互換性のあるセッション キーの暗号化および解読機能を備えている必要があります。たとえば、最低 40 ビット (既定値) の暗号化強度を持つセッション キーを使うように Web サーバーを構成する場合、セキュリティで保護された接続を試みるユーザーは、40 ビットのセッション キーの情報を処理できる Web ブラウザを使用する必要があります。