fbpx

HTTPSとは?SSLやTSLとの違いから証明書の種類まで解説!

  • このエントリーをはてなブックマークに追加

WEBサイトのアクセス時の通信を暗号化するHTTPS。その仕組みやSSL/TLSの詳細、VPNとの違いや証明書まで幅広く分かりやすく解説しました。

HTTPSとは

HTTPS (Hypertext Transfer Protocol Secure) は、Webサイトへのアクセス時にメッセージや通信内容をSSL/TLSプロトコルを用いて、暗号化して行う通信手段です。プロトコルは通信規約やルールを指し、ファイルや画像のダウンロード時などに行う手順を指します。

暗号化する理由は、暗号化していない平文のままサーバーに通信を送ると、第3者にデータを悪用される可能性が高いからです。例えば、自分が顧客や上司、友人に送るメッセージ内容やWebサイト上に入力した個人情報が、インターネット上にそのまま表示されると不安になりませんか。メッセージ内容やデータの通信内容が、第3者にそのまま閲覧できる状態になっているため、コンピューター知識に詳しい者であれば簡単に内容を把握できます。

そのためHTTPSは、第3者に情報流出を避けなければならない状況である、個人情報を入力する場面で特に必要です。アマゾンや楽天での電子決済やインターネットバンキング、ファンクラブのメールアドレスの登録などが主な使用用途になります。

近年はサイバー攻撃による個人情報の流出被害が個人や企業で増えてきました。ユーザーに安心して利用してもらうためやSEOの観点から、HTTPSに対応したWebサイトがほとんどになっています。

SSLとは?

SSL (Secure Sockets Layer)は、インターネット上のデータ通信を暗号化して、ユーザーとサーバー間のデータ通信に安全性をもたらすプロトコルです。SSLは何度かバージョンアップを重ねてきましたが、2014年にGoogleの開発者がSSL最新バージョンのSSL 3.0における脆弱性を見つけました。そのため、SSLを生み出したネットスケープコミュニケーションズはSSL 3.0を打ち切り、現在ではTLSがデータ通信プロトコルとして利用されています。

TLSとは?

TLS(Transport Layer Security)はSSLに変わって、インターネット上でのデータ通信を暗号化するプロトコルです。SSLはTSLの元となったプロトコルになります。しかし、人々の間でSSLの認知度が高いため、以前としてSSLの名称が使われることも多くなっています。最新バージョンは、2018年に発売されたTLS 1.3です。

HTTPとの違い

HTTP(Hypertext Transfer Protocol)は、データ通信の際にメッセージ内容が暗号化されていません。データ通信の際に平文のままサーバーに送られるため、HTTPSと比べて第3者にデータの盗聴や改ざんをされるリスクが高まります。HTTPはユーザーがサーバーと画像や文字、動画といったデータの通信を行う際に、HTMLやXMLといったハイパーテキストを利用して、データ通信を行うプロトコルです。

HTTPのサイトは、URLが「http://」で始まるサイトや「http://」が書かれていないサイトが該当します。「https://」で始まるサイトはHTTPSでの通信を行っているサイトで、鍵マークがあるのが特徴です。特に個人情報を扱う場合、HTTP通信のサイトは非常に危険なので注意してください。

HTTPステータスとは?

ユーザーがWebサーバーに送ったリクエストに対する、サーバーからのレスポンスになります。
以下に一部のステータスをまとめました。

番号 表示ステータス 意味
304 Not Modified 未更新
400 Bad Request 不正なリクエスト
403 Forbidden 禁止。ユーザーにアクセス権がない
404 Not Found
  • 未検出
  • アクセス権がない場合も表示される
500 Internal Server Error
  • サーバー内部でのエラー
  • プログラムエラーやCGIでのエラーが想定される

HTTPはなぜ安全じゃないのか

データ通信のやりとりが暗号化されていないのが、セキュリティ面を不安視される最大の原因です。
近年では、サイバー攻撃の多様化やデバイス機器の増加、働き方改革による働き方の多様化によって高いセキュリティ対策が必要になりました。
メッセージ内容や通信内容が暗号化されない状態だと、手口やスキルも洗練されてきているハッカーや犯罪者といった攻撃者の前では、情報流出を簡単に許すことになります。

サイバー攻撃とデバイス機器の増加によるリスクをまとめました。

サイバー攻撃

サイバー攻撃で想定されるのが、中間者攻撃によるデータ盗取です。中間者攻撃はデータ通信を行っているユーザーとサーバー間に不正に侵入し、データの改ざんや盗聴、すり替えを行うサイバー攻撃です。メッセージ内容や通信内容が丸見えの状態であるHTTPは、ハッカーや犯罪者などの攻撃者にとっては、攻略しやすいターゲット対象になります。
資料作りの際の調べ物や個人情報を入力する際、HTTP通信になっているWebサイトの閲覧には十分に気を付けてください。

そして働き方の多様化に伴い、特に注意する必要があるのは社外でPCやスマートフォンを使う機会が多い営業マンです。顧客回りの合間に利用する機会が多いカフェやファストフード店などの無料Wi-Fiスポットは、安全性が十分に整っていない場所も多くあります。安全性が確立されていないとデータ通信のやりとりが暗号化されず、第3者に丸見えの状態になります。顧客や上司とのメール内容や見積書、企業データを第3者が盗み見、改ざんにつながる可能性が十分にあるので、事務作業を行う場所にも慎重な選択が必要です。

デバイス機器の増加

スマートフォンやタブレット、IoT機器などセキュリティ対策を行うべき対象が増えました。全ての端末でセキュリティ対策を万全にするには、多大なコストと労力が必要になります。そして、httpサイトのアクセス制限を行うためには、管理者によるWebサイトの選定作業や利便性を失わないようにするための見極めが必要です。Webフィルタリングで閲覧できるサイトを絞る方法がありますが、毎日無数にできる新しいWebサイトをチェックし続けるのは不可能です。

スマートフォンやタブレットでhttpサイトを閲覧していると、中間者攻撃に遭う可能性が十分ありますので、気を付けましょう。

VPNとの違い

VPNは離れた場所からでも遠隔操作を可能にするネットワーク方式であり、HTTPはWebサーバーへの通信プロトコルになります。
つまり、VPNは自宅やカフェにいても、オフィス内で社内ネットワークを利用しているのと同様の環境を提供し、HTTPは特定のWebサイトが、データ通信を行う際に暗号化されて安全かを見極めるポイントになります。

VPN(Virtual Private Network)はインターネット上に仮想の専用線を敷いた通信方式です。セキュリティ性の確保された安全な経路を利用して暗号化されたデータの通信を行います。本社と複数の営業所といった特定の拠点間だけの利用に留めているため、情報流出のリスクが大幅に減少します。

近年では働き方の多様化に合わせて、マクドナルドやスターバックス、ローソンなど無料Wi-FiスポットでもVPN方式を採用しており、社外からでも安全に社内ネットワークにアクセスができるようになりました。しかし、リスクが完全に無くなったわけではないので、無料Wi-Fiスポットを利用する際は慎重な取り扱いが必要です。

HTTPは検索順位に影響

Googleは、全てのWebサイトにおける常時SSL化=HTTPS化を推進しており、ユーザーが特定のキーワードを入力した場合、HTTPSに対応しているかどうかで検索順位に影響が出ています。例えば、ユーザーが「横浜 おしゃれなカフェ」と検索した時に、自身の運営しているサイトがHTTPSであれば上位表示されますが、HTTPの場合は3ページ目や4ページ目に表示されるといった、ユーザーの目に届きにくい状態に陥ります。

多くの集客や売上を確保するためには、まず多くのユーザーに自社のサイトを閲覧してもらい、魅力的に感じてもらわなければなりません。そのためには、SEO(Search Engine Optimization)検索エンジン最適化と呼ばれる、GoogleやYahoo!といった検索エンジンに、ユーザーがキーワードを入力した際に上位表示されることが重要になります。

つまり、Googleに自身の運営するWebサイトが「ユーザーにとって価値ある情報を提供するWebページ」と評価されなければなりません。しかし、HTTPのサイトではGoogleから評価がされなくなりました。HTTPでは情報流出のリスクが不安である点とサイバー攻撃が多様化しているため、セキュリティ対策が急務になっているからです。

現に、Googleで検索した際にHTTPSとHTTPが混合しているWebサイトはユーザのアクセスがブロックされ、HTTPのWebサイトには「データが保護されていません」との警告が出るようになっています。

ユーザーに安心してWEbサイトを閲覧してもらうためにも、現在90%以上のWebサイトが常時SSL化に対応しているとの情報もあります。今後、サイト運営を考えている方は、常時SSL対策を行ってからサイトを立ち上げてください。

SSLサーバの証明書を確認する

サーバー証明書の種類

SSL証明書はドメイン認証、企業実在認証、EV認証の3種類が存在します。特徴を表にまとめました。用途に応じて使い分けてください。

種類 特徴 メリット デメリット 利用シーン
ドメイン認証
(DV: Domain Validation)
  • ドメイン使用権の有無のみで発行可能な証明書
  • 証明書に記載されるURLは偽装不可

 

  • 低価格で、スピーディーに発行可能
  • 企業と個人、両方で発行可能

 

  • 組織情報の確認や運営の実在性の確認はされない
  • セキュリティ対策が十分でない

 

  • スマートフォンやアパレル商品の期間限定のキャンペーンページ
  • 企業内限定サイト
  • グループウェア

 

企業実在認証
(OV:Organization Validation)
  • ドメイン使用権に加えて、第3社からの調査を経てから証明書を発行
  • 証明書に発行される企業名は偽装不可
  • 高い信頼性と安全性を確保
  • フィッシング詐欺対策や機密情報の保護にも有効

 

  • 個人は取得できない
  • 企業のホームページ
  • メーカーや製薬業界など会員制サイト
  • 企業や学校内向けの限定サイト

 

EV認証
EV(Extended Validation)
  • ドメイン使用権の有無、運営組織の実在性や組織の所在地、申し込みの権限など、厳格な第3社からの調査を経て証明書を発行
  • EV SSL証明書を保有しているサイトは、URLが緑色表示
  • 最も厳格な審査を経ているため、高い安全性を証明
  • 高度なセキュリティ対策にも対応可能
  • ユーザーにとっても、安心して利用可能
  • 導入に時間が必要
  • 個人は取得できない
  • 食品やアパレル製品のオンラインショップ
  • ネット銀行やネット証券

ドメイン認証のサーバ証明書の確認方法

ドメイン認証のサーバ証明書をGooglechromeで確認する方法になります。
ドメイン認証に確認事項は、コモンネームのみです。

  1. Googlechromeで対象のWebサイトを開き、南京錠マークをクリック
  2. 証明書をクリック
  3. 詳細をクリック
  4. オブジェクトを選択すると、登録情報が表示
  5. コモンネーム(CN)を確認

企業認証のサーバ証明書の確認方法

企業認証のサーバ証明書をGooglechromeで確認する方法をまとめました。
ドメイン認証とは異なり、第3者機関での認証を経ているため、運営組織名や所在地が表示されています。

  1. Googlechromeで対象のWebサイトを開き、南京錠マークをクリック
  2. 証明書をクリック
  3. 詳細をクリック
  4. オブジェクトを選択すると、登録情報が表示
  5. コモンネーム(CN)、運営組織名、運営組織の所在地を確認

EV認証のサーバ証明書の確認方法

EV認証のサーバ証明書の確認方法になります。
基本的には上2つと同じやり方です。
EV認証は最も厳しい審査を受けているため、市区町村での運営組織所在地情報や法人設立地などが詳細に記載されています。

  1. Googlechromeで対象のWebサイトを開き、南京錠マークをクリック
  2. 証明書をクリック
  3. 詳細をクリック
  4. オブジェクトを選択すると、登録情報が表示
  5. コモンネーム(CN)、運営組織名、運営組織の所在地(市区町村)、法人設立地などを確認
  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。