1.httpとhttps
httpとhttps。
インターネット検索をするときに、URLの部分で必ず目にしますよね。
URLとは簡単に言うと、サイトのアドレスです。
では、「http」や「https」とは何でしょうか。
これは簡単に言うと、ホームページを表示する際のルールになります。
ホームページは、サーバとブラウザ間のデータのやり取りによって表示されています。
インターネットを利用している環境によって、データのやり取りをする方法が異なっていたら不便ですよね。
そこで、全世界でホームページを表示させるための統一のルールができました。
それが「http://」や「https://」です。
先に結論を言うと、「https://」が推奨されています。大切な情報を扱うページは特にです。その理由も含めて、それぞれ詳しく説明していきます。
http
httpとは「Hyper Text Transfer Protocol(ハイパーテキストトランスファープロトコル)」の略です。
ホームページのデータは文字だけでなく画像や動画などがあります。
これらのデータをサーバとクライアントの間で通信するときの通信規約(プロトコル)がHTTPです。
プロトコルは簡単に言うと、通信をする上でのルールになります。
https
httpに対して「https」。最後に「s」が付いています。
この最後の「S」は「Secure(セキュア)」の「S」です。
IT業界では「セキュリティがしっかりしている」といった意味で使われている単語です。
httpsもhttpと同じプロトコルの一つですが、httpsではSSL(Secure Socket Layer)というプロトコルが使用されています。
現在はSSLではなくTLS(Transport Layer Security)というプロトコルが多く使われています。TLSとはSSLを引き継いだものです。
難しく見えますがまとめると、「httpがより安全になったのがhttps」で使いどころは同じ、通信ルールのことです。
2.httpとhttpsの主な違い
httpとhttpsの主な違いは、通信内容が暗号化されていないか、されているかの違いです。要するに、安全性の差です。
HTTPSに対応しているサーバでは、ホームページのデータをやり取りする際に通信が暗号化されます。通信内容を暗号化することで、安全にWebの情報をやり取りすることができますよね。
そのため、httpsが推奨されているのです。
またGoogle Chromeでの表記が、httpとhttpsで異なります。
通常のhttpに対応したホームページを開くとブラウザのURLの左の方に、「保護されていない通信」と表示されてしまいます。
しかし、httpsに対応したホームページでは「保護された通信」もしくは、「組織名」が表示されます。組織名が表示されている場合も、通信は暗号化されています。この「保護された通信」と「組織名」の違いは、サーバに設定されている証明書の種類が異なっていることから発生しています。
Googleは「httpsに対応していること」が、ホームぺ―ジの評価基準の一つであると公式に発表しています。SEO対策の一つとしても有効で、検索エンジンの順位にも繋がります。
(参考データ→HTTPSをランキングシグナルに使用します)
httpは危険?
httpsは安全にデータをやり取りすることができると紹介しました。
では、通常の「http」に潜む危険とは何でしょうか。
具体的には、情報漏洩や情報の改ざん・ウイルス感染といった危険性があります。
通信中の二者間に、不正な手段で割り込む「中間者攻撃(Man in the middle attack)」と呼ばれるものです。「http」に限らず、暗号化されていない無線LANや、適切なセキュリティ対策の施されていないネットワーク機器に対しても発生する攻撃です。
暗号化されていない「http」では、通信に割り込まれときに、情報が筒抜けになってしまうのです。
誰から見られても問題ないというようなぺージであれば、「http」を使用してもいいと思いますが、それ以外のページでは注意が必要になります。そのため、「httpは安全性が低い」です。
httpsなら必ず安全?
では「https」で暗号化されていれば、必ず安全と言えるのでしょうか。
残念ながら、そうでもありません。
常時SSL/TLS化、つまりhttp化されたサイトは、パスワード、ID、クレジットカードの番号といった個人情報はもちろん、サイトとやりとりする全ての情報を暗号化するので、基本的に通信内容を盗聴される心配はありません。外側からの不正には安全と言えます。
しかし、やりとりしているサイト自体が悪質だったらどうでしょう。フィッシングサイトという言葉を聞いたことはありますか。いわゆる、偽サイトですね。
クレジットカード番号などを入力させて、情報を不正に取得したり、またお金を振り込ませたりする悪質サイトです。最近はフィッシングサイトもhttps化されてきているものが多いので、URLがhttps://だから、必ず安全というわけではないのです。
3.偽サイトの見極め
「https」でも、偽サイトだったらどうしようもない。
では、偽サイトをどう見分ければいいのでしょうか。
それは、サイトに設定されている「SSLサーバ証明書」を確認することです。
通信先のサーバが実在し、ドメインの使用権があることを証明するものになります。この通信先のサーバが正当な所有者のものであることを保証するものを「証明書(SSLサーバ証明書)」といいます。
これは、サイト運営者の身元を証明する仕組みです。通信先のサーバを確認することにより、「なりすまし」などのリスクを予防することができます。偽装されたページを表示してしまうと、そこで情報を盗まれる可能性がありますよね。通信先が自分の意図しているサイト運営者かどうかを確認することで、情報流出を食い止めることに繋がります。
「通信の暗号化」、「サーバ所有者の正当性」を証明する。この2つがhttpsの重要な機能です。
ここに表示されている情報が、サイト運営者の身元を証明しています。ブラウザのアドレス部分に表示されている鍵マークをクリックすると、そのサイトの所有者、証明書の発行期間などの情報が表示されます。
フィッシングサイトのような、本物と見た目が似ている偽サイトでも、SSLサーバ証明書の情報をコピーすることはできません。この情報を確認することは、そのサイトが偽物か本物かを見分けるポイントになります。ブラウザの鍵マークをクリックして、確認を心がけましょう。
4.「https」化するには?
httpsが推奨されていることは感じていただけたでしょうか。では、そもそもhttpsへ変更するには、どうすればいいのか。最後に、URLを「http」から「https」に変更する手順をお伝えしたいと思います。
https化する際の手順
※「https化」の際には必ずバックアップを取ってから、作業に取り掛かりましょう。
手順1:使用しているレンタルサーバで、「SSL証明書」を発行。
レンタルサーバ業者は、SSL証明書を無料で提供している場合が多いです。 そのため、使用しているレンタルサーバ業者の管理画面にログインして、その画面上で、SSL証明書の発行を行うようにしましょう。また、有料の証明書もあります。無料のものと比べて、サポート内容や付加サービスが異なったりします。
手順2:URLを「https」で入力して、ホームページの表示確認
SSL証明書を発行すれば、「https://~」のURLでホームページが見れるようになります。一度URLを「https://~」でアクセスして、ホームページが表示されることを確認してください。
手順3:ホームページの動作確認
URLを「http」から「https」に変更する際、画像や内部リンクが見れなくなってしまうことがあります。 ホームページが表示されたら、画像が正常に表示されるか、リンク先も正常にたどれるか等、ホームページの中身もしっかり確認しておきましょう。
まとめ
「http」と「https」の違いは掴めたでしょうか?現在、httpのサイトはまだまだ多いです。しかし情報社会の現代では、より安全に情報を取り扱う事がとても大事になってきています。httpsの必要性を感じていただけたのではないでしょうか。ご自身でサイトを運営する方、サイトを閲覧するユーザーの方々、どちらも情報を守るための情報をしっかりと持つように心がけましょう。