他の人が書いたネットワーク関係の出版前の原稿をチェックしていて、通信を暗号化するSSL (SSL/TLS)について、あれ?と思うところがありました。

　SSL/TLSはTCP/IPのトランスポート層の上位側で、アプリケーション層との間にはさまって通信を暗号化します。HTTPを暗号化するHTTPSが代表的ですが、アプリケーション層のプロトコルは限定されないので、SMTP、POP3、FTPなども暗号化できます。

　その原稿には、SSLはTCPやUDPの上位側で暗号化を行うと書かれていたのですが、UDPを使うアプリケーション層のプロトコルで暗号化している例があったっけ?とふと思ったわけです。

　SSL/TLSはハイブリッド暗号を使うので、通信に先立ってセッションを確立して、暗号鍵を交換します。UDPはセッションを確立せずに、一方的にデータグラムを送りつける方式なので、そもそも暗号鍵を交換できないではないか?

　Webで日本語、英語のサイトを調べてみましたが、はっきり言及しているサイトが見当たりません。トランスポート層の上位で働くとしか書いていないところが多いし、TCPやUDPの上位で働くとしているサイトも見られます。

　ならば、RFCに当たるしかないので、RFC5246を見ると…
 

とあります。「信頼性のあるプロトコル」とありますが、UDPには言及されていません。

　それでは、UDPを暗号化するプロトコルはないかというと、DTLS (Datagram Tranport Layer Security)というのがあります。DTLSに言及している日本語サイトは、ほとんど見つかりませんので、RFC4347を見ると…
 

と、こちらには明記されていました。以後の本文中にも、TLSはUDPには使えないので、DTLSを作ったという理由や経緯が述べられています。やはり、UDP上ではSSL/TLSは使えないということでした。