httpsとは？その仕組み、httpとの違い

WebサイトのURLで目にする「http」や「https」。これらが何を意味しているか、それぞれの違いをご存知ですか？　今回は主にWebサイト運営者に向けて httpとhttpsの基本的な違い、httpsの重要性を解説します。

ライター：吉岡勇哉

httpとhttpsの基本的な違い

はじめに、WebブラウザにURLを入力後、ブラウザ上でそのページが表示される仕組みを簡単に紹介します。

1. ユーザー端末（クライアント）からURLのドメイン情報をDNS（Domain Name System）サーバーに問い合わせ
2. DNSサーバーでドメインをIPアドレスに変換し取得
3. IPアドレスを用いて閲覧したいWebサーバーにデータをリクエスト
4. リクエストしたデータをWebサーバーから受信し、Webブラウザ（クライアント）で表示

※DNSサーバーとは・・・Domain Name System Serverのことで、アルファベットの文字列でできたドメイン名と数字で構成されたIPアドレスを紐付けるサーバー
※IPアドレスとは・・・ネットワークに接続されている通信機器に割り振られている識別番号でインターネット上における住所の役割を担っています。

この時にWebサーバーとWebブラウザの間で互いに送受信できるよう、あらかじめ決められたルールや手順が、httpやhttpsといったプロトコル（通信規約）です。

インターネットの仕組みについて、もう少し詳しく知りたい方はこちらの記事をご確認ください。

httpとは

「http」とはHyper Text Transfer Protocolの略で、Webページ内の文字や画像などの情報を、ページ閲覧者とサーバー間で通信するためのプロトコル（Protocol）です。
httpでは各サーバー間との通信時、情報は暗号化されずにそのまま送受信しているため、Webページを表示するまでの過程でデータが改ざんされたり、傍受されたりするリスクがあります。

httpsとは

「https」とは、SSL（Secure Socket Layer）やTLS （Transport Layer Security）と呼ばれる、通信するサーバーの「なりすまし検知機能」、通信の暗号化による「傍受防止機能」、通信の「改ざん検知機能」を持った安全性の高いプロトコルを使用して通信を暗号化した、httpのセキュアバージョンです。ページ閲覧者とサーバー間の通信を暗号化し、データの機密性と完全性を保護するため、Webブラウザやサーバーの設定に問題がなければ、データの傍受や改ざんを防ぐ効果が期待できます。

現在、Chromeなどのブラウザではhttpsが推奨されており、httpの場合はページ表示前に警告が表示されたり、URLのアドレスバーに「保護されていない通信」と表示されたりします。

httpとhttpsのどちらを利用するかはサーバーの設定に依存しています（閲覧者が切り替えて表示できるものではありません）。もし目的のWebページがhttpの場合、閲覧者は通信が傍受されるかもしれないリスクを考慮した上で、表示の有無を考える必要があります。閲覧者への不安を与えないためにも、https化の対応は重要です。

SSLとTLSの違い

SSLは先述したようにデータの「なりすまし」「傍受」「改ざん」を検知・防止するために設けられ、SSL1.0～3.0が使用されてきましたが、脆弱性が指摘されSSL3.0で開発は終了しています。現在はそれらを改善した規格としてTLSが主流となっており、総称して「SSL」や「SSL/TLS」と表記されています。

httpsの重要性

データの暗号化

これまで説明したように、httpsはSSLもしくはTLSを利用してデータを暗号化し、ページ閲覧者とサーバー間で送受信される情報を保護します。これによりユーザーのパスワードやクレジットカード情報をはじめとした機密データが、第三者によって傍受されるリスクを大幅に減少させます。

認証と信頼性

httpsは「SSL/TLS証明書」と呼ばれる認証局が発行する電子証明書を用いてサーバー認証を行います。これにより、閲覧者は自分がアクセスしているサーバーが信頼できるか、Webサイトの運営者が実在するかなどを確認できます。
一方、Webサイト運営者もフィッシングや中間者攻撃（MITM）からユーザーを保護し、サイトの信頼性を高めることが可能。

ただし、アクセス先のWebサイトが詐欺サイトや偽物のサイトの場合には、全く効果がありません。そのため、アクセス先のURLに間違いがないかは必ず確認しましょう。

https化の注意点

SSLの実装コスト

SSLの種類とそれぞれの認証項目

SSLの認証は無料のものから、高いものでは10万円程度必要になることもあるので、以下の３種類から目的や用途に合ったものを選択し、実装しましょう。

ドメイン認証
最も安価で利用サーバーによっては無料で設定できるもの。認証項目も簡易的で、そのドメインを管理・所有していることを認証します。

企業実在認証
組織の安全性を証明できるため、公式サイトなどによく用いられます。認証項目はドメイン所有者であることに加え、法的に実在する企業であるかという点が追加されます。

EV認証
最も高価で厳格な審査が行われる認証です。決済情報を取り扱う場合などに用いられ、認証項目はドメインの所有者であること、法的に実在する企業であること、物理的に存在する企業であることの3つです。

無料で認証が得られるものもありますが、より信頼性の高い認証を得たい場合は、企業実在認証やEV認証の取得がおすすめです。ただし認証項目の数に比例して、導入までに時間がかかることを忘れずに。

SSLの導入手順

SSLの導入手順は主に以下の通りです。

1. CSR（Certificate Signing Request）と呼ばれる、SSL証明書発行のための署名要求を生成
2. 認証局の申し込みフォームに必要事項を入力して申請
3. 審査に必要な書類がある場合は認証局に送付
4. 審査・認証完了後、証明書発行のメールが届くので、メール受信後、記載されたURLから証明書をダウンロード
5. ダウンロードした証明書をサーバーに保存し、インストール作業を行う

SSLを導入する際は、SSL証明書のインストールが必要です。細かい導入手順はどこの認証機関を利用するかで変わりますが、大まかな流れは基本的に同じなので、上記を参考に手続きを進めましょう。

設定と維持の手間

独自のWebサイトを構築している場合、https化してそれを維持するためには、ある程度の専門知識が必要になることがあります。また、いくつものページを跨ぐような大規模なWebサイトをhttps化する場合は、内部リンクをすべて変更しなければいけないので、かなりの手間がかかるでしょう。

さらにhttpsへ変更後も証明書の更新忘れなどが発生すると、Webサイトへのアクセスが妨げられるリスクがあるため注意が必要です。

まとめ

Webサイト運営者にとって「https化」は、Webサイトのセキュリティを強化し、ユーザーの信頼を獲得するために重要です。この記事からhttpsの基本的な理解を深め、より安全なWebサイトの運用にお役立てください。