常時SSL Lab.編集部[目次]
”http://”と”https://”の違いを明確に答えられますか?そもそも、違いを意識したことはありますか?
見たことはあるような気がするけど説明するのは難しいな、という方も多いのではないでしょうか。
ここでは、HTTPSの基礎知識を簡単に説明します。
HTTP、HTTPSはデータをやり取りするための世界共通のルール
さて、そもそも”http://”や”https://”とはなんなのでしょうか。
ものすごく簡単にいうと、「ホームページを表示するための世界共通のルール」です。
「ホームページを見るときに、アドレス(URL)の最初に必ず付けないといけないもの」くらいの認識の方もいらっしゃるかもしれませんね。
それはそれであっています。
ホームページを閲覧する上では欠かせないルール(約束事)なのです。
少しだけ技術的(?)に説明するなら、ホームページのデータはサーバー上に保管されています。ホームページを閲覧するときにはブラウザを利用しますよね。
サーバーとブラウザ間でデータのやりとりをしないとホームページは表示されないわけですが、このときに、サーバーやブラウザごとに独自ルールをつくっていたら、アクセスする環境によっては表示できない。といった問題が発生してしまいます。
そこで、全世界でホームページを表示させるための統一のルールを作りましょうということになりました。
それが”http://”や”https://”です。
つまり、サーバーとブラウザ間のデータのやりとりは、「HTTP(S)」というルールに従って行いましょう。ということです。
「HTTP(S)」はプロトコルとも呼ばれますが、ホームページを閲覧するときのプロトコルは「HTTP」や「HTTPS」、メールを利用するときのプロトコルは「SMTP」や「IMAP」など、利用用途によってデータをやり取りする際のルールが決められています。
HTTPSの「S」はSecure(セキュア)の「S」
HTTPSは、HTTPにSecure(セキュア)の「S」を追加したものです。
“https://”の場合は、データのやりとりをセキュア(=暗号化)な状態で通信していますよ、ということです。
逆にいうと、”http://”は暗号化されていないデータをそのままやりとりしている状態です。
ホームページのURLをよく見てみると、”http://”と”https://”が存在していることに気付くはずです。
よく似ているので大した違いはないんじゃないの。と思われがちなのですが、「s」があるのとないのとでは大違い。
知っているのと知らないのでは、サイトのセキュリティ対策にも大きな差が出てきます。
これだけ聞くと、「”http://”より”https://”のほうがセキュアなんだしイイに決まっている!」と思うのですが、現状では、httpで運営されているサイトのほうが圧倒的に多いです。
常時SSL化が拡大中!有名サイトが続々と常時SSL化する理由【第2弾】
HTTPとHTTPS。ユーザーが見分けるにはどうすればいい?
“http://”と”https://”のホームページ。ユーザー側で見極めることはできるのでしょうか。
ユーザー側での確認方法は、ホームページのURLをみればすぐにわかります。
ほとんどのブラウザでは、上部にアドレスバー(URLを表示する項目)が表示されています。
URLの先頭が”http://”か”https://”で確認することができます。
”https://”から始まるURLでも、ブラウザや、SSLサーバー証明書の種類によって、見え方が違うのでよく観察してみてくださいね。
ここでポイントとなるのが、アドレスバーにひっそり(?)と表示されている鍵マーク。
「HTTPS=暗号化」なんだから、鍵マークが表示されているのは当たり前と思われがちですが、そうでもないのです。
下図の例をみてください。
URLは”https://”から始まっているのに、エラーや×印が表示されています。
これはどういうことでしょうか。
![(図2)https通信時のアドレスバーの表示[エラー]](/rentalserver/aossl/wp-content/uploads/about-https-03.png)
HTTPSで暗号化ができていれば安全?!
先ほども説明したように、ホームページへのアクセス時に”https://”の宣言をすれば、暗号化通信は行えます。
(もちろん、事前にサーバー側でHTTPS通信を許可したり、HTTPSでホームページを表示できるように準備する必要があります)
では、通信データが暗号化できていれば「安全」なのでしょうか?
実は、必ずしも「安全」だとは言えないのです。
ホームページ上から商品を購入する場合を想定してみましょう。
ここまで読んでくれた方は、まず、ホームページで商品を買うときに、個人情報やクレジットカード情報を入力するページが”https://”から始まっていることを確認するでしょう。
だって、個人情報などの重要な情報は、暗号化通信がされていないと不安ですよね。
- よしよし。”https://”から始まっている。
アドレスバーにエラーがでてるけど、”https://”の通信だからから安全だわ。このまま進めよう! - いや!ちょっとまって。ほんとにそのまま進んじゃっても大丈夫?
通信自体は暗号化されているけど、その情報を誰に渡そうとしているの?
データを渡す相手ってほんとに信用できる会社なの?本物なの?
疑いだしたらキリがないですが、自分の情報を守るためには重要なことです。
この場合、ポイントとなるのは「アドレスバーにエラーがでている」ということ。まさに(図2)の状態ですね。
これは、ブラウザが「今、アクセスしているサイトは大丈夫?」と警告をだしてくれているのです。
近年、実在する銀行やクレジットカード会社になりすまして利用者からIDやパスワード、クレジットカード番号などの個人情報を盗み取る「フィッシング詐欺」と呼ばれるインターネット上の犯罪が増加しています。
あなたの大切な情報を渡そうとしているのは、ひょっとしたら本物になりすました偽サイトかもしれません。
本物サイトと偽物サイトの見分け方はある?
では、本物のサイトと偽サイトを見分ける方法なんてあるのでしょうか。
答えは「あります」!
それは、サイトに設定されている「SSLサーバー証明書」を確認することです。
ブラウザのアドレスバーに表示されている鍵マークをクリックしてみると、そのサイトの所有者、証明書の発行期間などの情報が表示されます。
ここに表示されている情報が、Webサイト運営者の身元を証明しています。
フィッシングサイトのように、見た目を同じようにコピーした偽サイトでも、SSLサーバー証明書の情報をコピーすることはできません。
なので、この情報を確認することで、本物のサイトを見分けることができるのです。
フィッシングサイトもどんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。
サイトの見た目だけで判断するのではなく、ブラウザの鍵マークをクリックして確認しましょう。
この記事のポイント
- HTTPの通信だとデータが丸見え、HTTPSの通信はデータが暗号化
- HTTPとHTTPSはURLで簡単に見分けられる
- 偽サイトを見破るには、ブラウザの鍵マークをクリック!
株式会社IDCフロンティア
