httpsとはインターネット通信の暗号化をする技術のことを指します。

お問い合わせや商品などを注文する時に、個人情報を入力する場面での情報の盗難などを防ぐ役割で使われています。
さらに2014年8月からは、Webサイトのhttps化が検索順位を決めるランキングシグナルにも利用されるようになり、その重要性は年々増してきていると言えます。

httpとの違い

httpは「HyperText Transfer Protocol」の略で、インターネットで通信をするための約束事（プロトコル）。httpという共通の手続きがあるからこそ、どんなWebサーバー、ブラウザを使っても、同じようにWebサイトにアクセスできるわけです。

一方、httpsは「HTTP over SSL/TLS」の略で、httpの約束事の上にセキュリティ機能をかぶせたプロトコルです。「https」の「S」は、セキュリティの「S」だと捉えれば、理解しやすいと思います。

「HTTP over SSL/TLS」のSSLとTLSは、どちらもデータ暗号化技術のこと。
SSLは1994年にNetscape Communications社が提唱したもので、TLSはその後SSLを標準化したものです。

SSL3.0の次のバージョンがTLS1.0なので、TLSはSSLの後継になるのですが、SSLという言葉が広く一般に認知されたこともあって、今日でもTLSのことをSSLと呼んだりすることがあります。

httpsはどういう時に使われるのか？

httpsは、Webサーバーとブラウザ間の通信を暗号化し、通信経路上での盗聴などを防止するための仕組みですので、IDやパスワードの入力、個人情報の入力などが必要なページで利用されます。

ECサイトのショッピングカートや、セミナーなどの申し込みページでよく見られます。

また、httpsには「Webサイト運営者の身元を証明する」という役割もあり、なりすましによる個人情報の流出を防止することができます。
ただし、httpsで通信していれば、必ずWebサイトの身元が保証されているわけではありませんので注意が必要です。

身元を証明する「証明書」の種類

httpsで通信を行うためには、認証局と呼ばれる認証機関から証明書を発行してもらい、Webサーバーにインストールしておく必要があります。

この証明書によって、通信の暗号化をする鍵を作成し、Webサイトの身元を証明するわけですが、実は証明書には3種類あります。

どの証明書でも通信の暗号化はできるのですが、すべての証明書がWebサイトの身元を証明するものではないのです。

EV証明書

厳格にWebサイト運営者の身元を確認する証明書で、組織情報の確認や確認権限を持った人の在籍確認、確認書類に署名、電話での確認を使ってWebサイト運営者を確認します。
EV証明書は価格も高額なのですが、昨今のセキュリティへの意識の高まりを受けて、導入するWebサイトも増えています。

OV証明書

EV証明書と同じようにWebサイト運営者の身元を保証するものですが、確認方法は若干緩く、組織情報の確認と電話での確認だけです。
そのため、EV証明書に比べると、運営者の身元保証という点では若干信頼性が低くなります。

DV証明書

最も価格の安い証明書で、数千円レベルで導入できますが、Webサイト運営者の身元は保証されません。
証明書をインストールするドメインの使用権があるかどうかを確認するだけです。
httpsのもう一つの役割「通信を暗号化する」ということだけを実現する証明書だと言えるでしょう。

このように様々な証明書がありますので、個人情報を入力するようなページでは、どの証明書を使っているのかも確認しておいた方がいいかもしれません。

OV証明書でもEV証明書よりは信頼性が下がるというだけで、きちんと実在性確認は行われていますので十分に信頼できる証明書です。
金融機関などのなりすまし被害が大きくなってしまう可能性が高い企業では、まず間違いなくEV証明書が使われています。

httpsの仕組み

それでは、httpsがどんな仕組みになっているのか見てみましょう。
下図は、https通信でブラウザとサーバーがどんなやり取りをしているのか、大まかに表した図です。

この図のように、httpsではWebサーバーとブラウザ間は、共通の鍵を使ってデータを施錠（暗号化）して通信を行います。

途中で第三者が通信を盗聴したとしても、共通鍵がないと暗号化されたデータは復号化（鍵の解除）ができませんので安心です。

先ほど解説した「証明書の種類」は、ブラウザのアドレスバーなどに表示される鍵のマークをクリックすることで確認できます。
下の図は、三井住友銀行のインターネットバンキングのログインページで使われている証明書を表示したところです。

三井住友銀行の場合、EV証明書を使っていることがすぐに分かります。

Webサイト運営者が注意しなくてはいけない事

Webサイト運営者側のありがちなミスは、httpsで通信をするページ内の画像などをhttpで読み込んでしまい、エラーになってしまうパターンです。

画像や外部CSSなどの読み込みをするタグを、httpから始まる絶対パスにしている場合に起こりがちですので、https化した際にエラーが出た時にはソースコードを確認してみましょう。

もう一つ、EV証明書を使っていても、暗号化する際に使われるアルゴリズムが古い場合には、突然Webサイトにアクセスできなくなってしまう可能性があります。
実際、2015年9月にはこの問題でヤマト運輸の一部のページが閲覧できない状態になりました。

インターネットブラウザ「Google Chrome」利用時のホームページ一部閲覧不可について | ヤマト運輸

サーバー証明書を確認すれば、暗号化に使われているアルゴリズムのバージョンが分かります。「SHA-1」というアルゴリズムの場合には注意が必要です。

実は「SHA-1」アルゴリズムは、2005年に攻撃方法が発見されており、年々その安全性が低下しています。
そのため、より強固なセキュリティを確保することができる「SHA-2」への移行が進んでいます。

今後、古い「SHA-1」を使っているWebサイトには、ブラウザ側でアクセスできないようにブロックする機能が一般化する可能性もありますので注意しましょう。