日常生活において、いろいろなホームページ(ウェブサイト)を見ることが当たり前の世の中になりましたが、ホームページのアドレス(URL)が『https://』で始まったり『http://』で始まったりとなっていることはすでにご存知のことかと思います。そして多くのユーザが安心して利用できるよう、自社で運営しているホームページについては『https://』で始まるホームページにすることが求められています。では、この『https://』と『http://』の違いは何か?、『https』の意味と『https +電子証明書』の組み合わせによるより安全なウェブサイトについて、このページでわかりやすく解説します。
目次
HTTPSとHTTPの違い
『HTTPS(HyperText Transfer Protocol Secure)』『HTTP(HyperText Transfer Protocol)』は、ともにウェブブラウザでホームページの内容を表示させるためウェブサーバと通信させるプロトコル(仕組み)のことですが、HTTPSとHTTPの違いは、通信がSSLによって暗号化されているか否かです。暗号化されていれば「HTTPS」、暗号化されていなければ「HTTP」です。
SSL/TLSによる暗号化通信は、一対の機器の間でデータの暗号化通信を行うことができるトランスポート層の仕組み(プロトコル)で、対になる2つの鍵「共通鍵暗号方式」「公開鍵暗号方式」の仕組みを用いて行われます。
アドレスバーでのHTTPS(SSL)とHTTP(非SSL)の見分け方
HTTPSから始まるURL(ホームページの場所を表す住所のようなもの)のウェブサイトにアクセスする場合は、ウェブサイトから送信されるデータはSSL/TLS暗号化通信がされていることが保証されるため、URLの先頭は『https://』となり、ブラウザに『鍵マーク』が表示されます。
一方、HTTPから始まるURLのウェブサイトにアクセスする場合は、ウェブサイトから送信されたデータが平文のままのため、盗聴や改ざんを防げません。
この場合、URLの先頭は『http://』となり、注意や警告マークが表示されます。
アドレスバーの先頭に鍵マーク
アドレスバーの先頭に注意マーク
実は事前に準備が事前にできていれば、ブラウザのアドレスバーの先頭に「https://」と入れてアクセスするとSSL暗号化は可能です。しかし、それはあくまでSSL暗号化ができるのみで、そのウェブサイトがどのような組織によって運営されているかはわかりません。
SSLサーバ証明書はウェブサイトの運営者がわかる電子証明書
そこで登場するのが、「SSLサーバ証明書」と呼ばれる電子証明書です。
SSLサーバ証明書には、SSL暗号化に必要な鍵とウェブサイトの運営者の情報が含まれております。これをウェブサーバにインストールすることで、SSL暗号化通信に加え、ユーザ自身でウェブサイトの運営組織の情報を確認することができるようになります。
SSLサーバ証明書は、GMOグローバルサインなどの認証局と呼ばれる第三者機関が、対象のウェブサイトのドメイン(コモンネーム)使用権の確認と、ウェブサイトの運営者(組織)の実在性の審査を行い、「本物のウェブサイト」であることが認証され発行されます。
ウェブサイトの運営者を確認する方法は簡単
SSLサーバ証明書が導入されたウェブサイトは、ユーザ自身がアドレスバーの鍵マークをクリックするだけで、簡単に運営組織の情報を確認することができます。Google Chromeの例で確認方法をご紹介します。
ブラウザの鍵マークをクリックして出てくるダイアログの「この接続は保護されています」をクリック
「証明書は有効です」をクリック
SSLサーバ証明書の情報が表示されます。赤枠で囲われた部分が、運営組織の情報です。
SSLサーバ証明書の情報を確認する詳しい方法については、こちらを参照ください。