公開日:2016年06月08日
最終更新日:2021年02月12日
httpsとはインターネット通信の暗号化をする技術のことを指します。
お問い合わせや商品などを注文する時に、個人情報を入力する場面での情報の盗難などを防ぐ役割で使われています。 さらに2014年8月からは、Webサイトのhttps化が検索順位を決めるランキングシグナルにも利用されるようになり、その重要性は年々増してきていると言えます。
目次
httpは「HyperText Transfer Protocol」の略で、インターネットで通信をするための約束事(プロトコル)。httpという共通の手続きがあるからこそ、どんなWebサーバー、ブラウザを使っても、同じようにWebサイトにアクセスできるわけです。
一方、httpsは「HTTP over SSL/TLS」の略で、httpの約束事の上にセキュリティ機能をかぶせたプロトコルです。「https」の「S」は、セキュリティの「S」だと捉えれば、理解しやすいと思います。
「HTTP over SSL/TLS」のSSLとTLSは、どちらもデータ暗号化技術のこと。 SSLは1994年にNetscape Communications社が提唱したもので、TLSはその後SSLを標準化したものです。
SSL3.0の次のバージョンがTLS1.0なので、TLSはSSLの後継になるのですが、SSLという言葉が広く一般に認知されたこともあって、今日でもTLSのことをSSLと呼んだりすることがあります。
httpsは、Webサーバーとブラウザ間の通信を暗号化し、通信経路上での盗聴などを防止するための仕組みですので、IDやパスワードの入力、個人情報の入力などが必要なページで利用されます。
ECサイトのショッピングカートや、セミナーなどの申し込みページでよく見られます。
また、httpsには「Webサイト運営者の身元を証明する」という役割もあり、なりすましによる個人情報の流出を防止することができます。 ただし、httpsで通信していれば、必ずWebサイトの身元が保証されているわけではありませんので注意が必要です。
httpsで通信を行うためには、認証局と呼ばれる認証機関から証明書を発行してもらい、Webサーバーにインストールしておく必要があります。
この証明書によって、通信の暗号化をする鍵を作成し、Webサイトの身元を証明するわけですが、実は証明書には3種類あります。
どの証明書でも通信の暗号化はできるのですが、すべての証明書がWebサイトの身元を証明するものではないのです。
厳格にWebサイト運営者の身元を確認する証明書で、組織情報の確認や確認権限を持った人の在籍確認、確認書類に署名、電話での確認を使ってWebサイト運営者を確認します。 EV証明書は価格も高額なのですが、昨今のセキュリティへの意識の高まりを受けて、導入するWebサイトも増えています。
EV証明書と同じようにWebサイト運営者の身元を保証するものですが、確認方法は若干緩く、組織情報の確認と電話での確認だけです。 そのため、EV証明書に比べると、運営者の身元保証という点では若干信頼性が低くなります。
最も価格の安い証明書で、数千円レベルで導入できますが、Webサイト運営者の身元は保証されません。 証明書をインストールするドメインの使用権があるかどうかを確認するだけです。 httpsのもう一つの役割「通信を暗号化する」ということだけを実現する証明書だと言えるでしょう。
このように様々な証明書がありますので、個人情報を入力するようなページでは、どの証明書を使っているのかも確認しておいた方がいいかもしれません。
OV証明書でもEV証明書よりは信頼性が下がるというだけで、きちんと実在性確認は行われていますので十分に信頼できる証明書です。 金融機関などのなりすまし被害が大きくなってしまう可能性が高い企業では、まず間違いなくEV証明書が使われています。
それでは、httpsがどんな仕組みになっているのか見てみましょう。 下図は、https通信でブラウザとサーバーがどんなやり取りをしているのか、大まかに表した図です。
この図のように、httpsではWebサーバーとブラウザ間は、共通の鍵を使ってデータを施錠(暗号化)して通信を行います。
途中で第三者が通信を盗聴したとしても、共通鍵がないと暗号化されたデータは復号化(鍵の解除)ができませんので安心です。
先ほど解説した「証明書の種類」は、ブラウザのアドレスバーなどに表示される鍵のマークをクリックすることで確認できます。 下の図は、三井住友銀行のインターネットバンキングのログインページで使われている証明書を表示したところです。
三井住友銀行の場合、EV証明書を使っていることがすぐに分かります。
Webサイト運営者側のありがちなミスは、httpsで通信をするページ内の画像などをhttpで読み込んでしまい、エラーになってしまうパターンです。
画像や外部CSSなどの読み込みをするタグを、httpから始まる絶対パスにしている場合に起こりがちですので、https化した際にエラーが出た時にはソースコードを確認してみましょう。
もう一つ、EV証明書を使っていても、暗号化する際に使われるアルゴリズムが古い場合には、突然Webサイトにアクセスできなくなってしまう可能性があります。 実際、2015年9月にはこの問題でヤマト運輸の一部のページが閲覧できない状態になりました。
インターネットブラウザ「Google Chrome」利用時のホームページ一部閲覧不可について | ヤマト運輸
サーバー証明書を確認すれば、暗号化に使われているアルゴリズムのバージョンが分かります。「SHA-1」というアルゴリズムの場合には注意が必要です。
実は「SHA-1」アルゴリズムは、2005年に攻撃方法が発見されており、年々その安全性が低下しています。 そのため、より強固なセキュリティを確保することができる「SHA-2」への移行が進んでいます。
今後、古い「SHA-1」を使っているWebサイトには、ブラウザ側でアクセスできないようにブロックする機能が一般化する可能性もありますので注意しましょう。
GrowthSeed編集部
株式会社フルスピードのGrowthSeed編集部です。企業のマーケティング担当者へ向けてWebマーケティングの成長の種となる情報を発信しています。 Twitter , Facebookで記事の更新情報やセミナーの最新情報などを日々発信しているので、ぜひフォローしてみてください。
常時SSLはするべき!?メリットとデメリット
マーケティングに使えるオープンデータまとめ~総務省編
検索キーワードを分析!検索アナリティクスを使った分析方法
Googleウェブマスターツールに届くメッセージまとめ
AMPとは
SEO初心者から今まで、SEOを知るために私が勉強したこと
なぜNAVERまとめはサービス終了したのか!?SEO視点で調べてみた
ブログ記事リライトの手順や注意点をSEOのプロが解説!
Googleビジネスプロフィール(旧Googleマイビジネス)の編集方法を徹底解説!登録方法から管理画面の使い方まで
SEOとURLの関係とは? 検索順位への影響などをプロが徹底解説
URL「www」ありなしのSEO効果は?統一すべき理由や設定方法を解説
モバイルファーストインデックス(MFI)とは?概要や確認方法・対策方法まで徹底解説
Google、May 2022 Core Updateを展開!2022年初のコアアップデート
サーチコンソールの権限付与の設定方法┃2022年最新
モバイルフレンドリーとは?条件、確認方法、対応方法を解説
サーチコンソールのインデックス登録のリクエスト方法とインデックスできない時の解決方法
Webマーケティングにお困りの際は お気軽にご相談ください