ネットワークの通信を行うhttpとhttpsの違いについて知ろう!

2017年6月20日(火) ノウハウ

Webサイトを見るとき、ブラウザ上部にあるURL表記に注目したことはありますか?
Webサイトによってhttpやhttpsと表記されていると思います。
この違いは何なのでしょうか?今回はhttpとhttpsの違いについてご紹介します。

httpとは何か?

httpは「HyperText Transfer Protocol」の略で、HTMLやXMLで記述されたハイパーテキストを使ってネットワーク上で通信する仕組み(プロトコル)で、画像や音声といったデータを取り扱うことも可能です。
1980~1990年代にかけてティム・バーナーズ=リーとロバート・カイリューによって開発された技術です。
Webブラウザのアドレスバーにhttp://~とついている”http”というのがまさにそれで、この場合、httpで通信しているということを示しています。

この便利なhttpの落とし穴とも言えるところは、第三者が通信の内容を見ることができるという点です。
知識があるものであれば、簡単にその内容を見ることができるでしょう。
もし万が一個人情報を入力するためのページがhttpだった場合、入力した情報が第三者に見られてしまう可能性が非常に高いです。
第三者に情報を盗み見られることを防ぐために、通信を暗号化する技術が開発されることになりました。


Google Chromeでhttpのサイトを見た場合。
iマークをクリックすると警告文が表示されている。
保護されていない通信であることが一目でわかる。

httpsとは何か?

次に、httpsは「HTTP over SSL/TLS」の略で、httpに暗号化技術を適用したものとなります。
SSLは「Secure Socket Layer」、TLSは「Transport Layer Security」の略で、それぞれネットワーク上で暗号化通信する仕組み(プロトコル)です。
現在はTLSで暗号化を行なっており、SSL自体は使用されていません。ですが、今もなおSSLという言葉がメジャーなためにTLSをSSLと呼んでいるのです。

Webブラウザのアドレスバーにhttp://ではなく、https://とついている場合、httpsで通信しているということを示しています。合わせて鍵のマークが表記されているでしょう。


httpsになっているwebサイト。
SSLが設定されているため、保護された通信と表示される。

httpsにする目的としては、個人情報や機密情報といった第三者に傍受されたくない情報を含んだ通信を安全に行いたい場合に必要とされます。
よってECサイトやインターネットバンキング、メールフォームなどの個人情報を入力するサイトやページに適用されていることが多いです。
最近ではコーポレートサイトや、サービスサイトなどの個人情報を取り扱わないサイトでも使用されるようになってきました。

SSLサーバ証明書はWebサイトに対する信頼性の証

Webサーバがhttpsに対応するためには、信頼性が高いと認められた認証局(CA:Certification Authority)から発行されたSSLサーバ証明書というものを取得しないといけません。
SSLサーバ証明書とは、Webサイトの所有者の情報、送信情報の暗号化に必要な鍵、発行者の署名データを持った電子証明書です。

この証明書は暗号化通信に必要なものであると同時に、そのサイトが信頼できるサイトであることを証明しています。

信頼性の低いhttpsのWebサイトに注意

なお、SSL証明書には期限が定められていて、その期限を過ぎても証明書が更新されてない場合、Webブラウザでは証明書に問題がある旨のエラーが表示されます。
また、このエラーはSSL証明書の期限切れだけでなく、正式に取得していない証明書の場合にも表示されます。
もしインターネット上のWebサービスを閲覧した際にこのエラーが出た場合、このサイトはなりすましの可能性がある、期限切れの証明書を使用しているなど、信頼性が低いサイトであると判断できます。

今後のhttps化必須の動きとは?

Googleでは、Webサイトの全てのページをhttps化(SSL/TLS暗号化)することを求めています。いわゆる常時SSL化です。
最近では、Google検索サイトでの検索順位に影響するようになりました。さらに、WebブラウザのGoogle Chromeではhttpで通信しているだけで、「保護されていない通信」という警告が表示されるようになったのです。
このような警告を表示させないためにWeb担当者がSSLを取得し、httpsに切り替わっていくようになるでしょう。
今後の動きとして、すべてのサイトがhttps化(常時SSL化)されていくと考えられます。

httpとhttpsの違いは単に暗号化の有無といった技術的な違いだけでなく、Webサイトの信頼性の違いということも重要視されるようになってきたことをお話しました。
この結果、多くのWebサイトを運営している企業では、管理すべきSSLサーバ証明書の数が増え、その管理を万全に進める対応が必要となってくるようになりました。

サイトを訪問する際にアドレスバーに注目して、信頼性が高いサイトなのかチェックするように意識してみるのはいかがでしょうか。
意識的に取り組むことによって、個人情報を安全に取り扱うことができるようになりますね。

Writer:SecurityTIMES編集部