他の多くの記事では、設定する必要があるネットワーク管理者の観点から、IPSec VPNとSSL VPNを比較対照しています。ただし、この記事では、 主要な商用VPNプロバイダーが消費者サービスでSSLとIPSecをどのように利用しているか, 企業ネットワークではなく、ウェブへのアクセスを提供することを目的としています. 使用するVPNプロトコル IPSec暗号化には、L2TP、IKEv2、およびSSTPが含まれます。 OpenVPNは、SSL暗号化を使用する最も一般的なプロトコルです, 特にOpenSSLライブラリ。一部のブラウザベースのVPNでもSSLが使用されています. この記事では、VPNエンドユーザーの観点からIPSecとSSL暗号化を比較対照します。 2つのプロトコルのより基本的な説明が必要な場合は、一般的な種類の暗号化に関する詳細なガイドをご覧ください. VPN暗号化の基本 VPN暗号化は、正しいキーを使用してのみスクランブル解除（復号化）できるように、インターネットトラフィックのコンテンツをスクランブルします。送信データは、デバイスを離れる前に暗号化されます。次に、VPNサーバーに送信され、適切なキーを使用してデータが復号化されます。そこから、データはWebサイトなどの宛先に送信されます。暗号化により、インターネットサービスプロバイダー、政府機関、wifiハッカーなど、VPNサーバーとの間でデータを傍受した人がコンテンツを解読できなくなります。. 着信トラフィックは同じプロセスを逆にたどります。データがWebサイトから送信される場合、最初にVPNサーバーに送信されます。 VPNサーバーはデータを暗号化し、デバイスに送信します。その後、デバイスはデータを復号化して、ウェブサイトを正常に表示できるようにします. これらすべてにより、VPNユーザーのインターネットデータがプライベートであり、不正な第三者の手に渡らないことが保証されます。. さまざまなタイプの暗号化の違いは次のとおりです。 暗号化強度、またはデータがスクランブルされる方法と程度 暗号化キーの管理および交換方法 使用するインターフェイス、プロトコル、およびポート 実行するOSIレイヤー 導入のしやすさ パフォーマンス（読み取り：速度） セキュリティ 要するに： SSLを支持するわずかなエッジ. IPSec接続では、トラフィックを暗号化して相互に送信するために、クライアントとサーバーの両方に事前共有キーが存在する必要があります。このキーの交換は、攻撃者が事前共有キーをクラックまたはキャプチャする機会を提供します. SSL VPNでは、公開キー暗号化を使用してハンドシェイクをネゴシエートし、暗号化キーを安全に交換するため、この問題は発生しません。しかし、TLS / SSLには、Heartbleedのような独自の脆弱性の長いリストがあります. 一部のSSL VPNは、信頼できない自己署名証明書を許可し、クライアントを検証しません。これは、特に「クライアントレス」SSL VPNブラウザー拡張機能で一般的です。誰でもどのマシンからでも接続できるこれらのVPNは、中間者（MITM）攻撃に対して脆弱です。ただし、これはほとんどのネイティブOpenVPNクライアントには当てはまりません. SSLは通常、サーバーとクライアントの両方に対して最新の状態を維持するために、より頻繁なパッチを必要とします. IPSecベースのVPNプロトコルのオープンソースコードがないことは、政府のスパイやスヌーパーに警戒する人々にとって懸念事項です。 2013年に、エドワードスノーデンは、米国国家安全保障局のブルランプログラムが「ターゲットが使用する商用暗号化システム、ITシステム、ネットワーク、およびエンドポイント通信デバイスに脆弱性を挿入する」ことを積極的に試みたことを明らかにしました。ハッカーに悪用される可能性がある. 最終的に、強力なセキュリティは、プロトコルの選択ではなく、熟練したマインドフルなネットワーク管理者の結果である可能性が高い. ファイアウォールトラバーサル 要するに： 一般に、SSLベースのVPNはファイアウォールのバイパスに適しています. NATファイアウォールは、多くの場合、Wi-Fiルーターやその他のネットワークハードウェアに存在します。脅威から保護するために、認識されないインターネットトラフィック（ポート番号のないデータパケットを含む）はすべて破棄します。暗号化されたIPSecパケット（ESPパケット）にはデフォルトでポート番号が割り当てられていません。つまり、NATファイアウォールでキャッチされる可能性があります。これにより、IPSec VPNが機能しなくなる可能性があります. これを回避するために、多くのIPSec VPNはESPパケットをUDPパケット内にカプセル化するため、データにはUDPポート番号（通常はUDP 4500）が割り当てられます。これにより、NATトラバーサルの問題は解決しますが、ネットワークファイアウォールはそのポートでパケットを許可しない場合があります。ホテル、空港、およびその他の場所のネットワーク管理者は、いくつかの必要なプロトコルのトラフィックのみを許可し、UDP 4500はその中にない場合があります. SSLトラフィックはポート443を介して送信できます。ほとんどのデバイスは、HTTPSトラフィックを保護するために使用されるポートとして認識します。ほとんどすべてのネットワークはポート443でHTTPSトラフィックを許可しているため、開いていると想定できます。 OpenVPNはUDPトラフィックにデフォルトでポート1194を使用しますが、TCPポート443を含むUDPまたはTCPポートのいずれかを介して転送できます。これにより、 ファイアウォールやその他の形式の検閲をバイパスするのに便利なSSL ポートに基づいてトラフィックをブロックする. スピードと信頼性 要するに： どちらもかなり高速ですが、IKEv2 /…