制作ガイド
Web制作の流れとは?13工程を基礎知識から・・・
2021.12.14
httpとhttpsの違いとは?セキュリティ上の意味を徹底解説
制作ガイド
更新日:2023.05.29
公開日:2023.04.24
インターネット上には、無数のWebサイトが存在し、膨大な数のデータが日々やり取りされています。こうした情報を、デバイスやOSなど、異なる利用状況においてもスムーズに表示するために、「HTTP」や「HTTPS」というプロトコルが利用されています。
しかし、「HTTP」と「HTTPS」の違いがわからないという方も多いのではないでしょうか。実は、最近では、ユーザーが安心して利用できるように、ホームページにおいて「HTTPS」を導入することが求められています。そのため、これから自社のコーポレートサイトの作成・リニューアルを検討されている企業の方は、この違いを理解しておくことが大切です。
そこで、ホームページ作成からSEO対策など、トータルプロデュースで数多くの実績をもつTRASPが、「HTTP」と「HTTPS」の違い、「HTTPS」の通信の仕組み、「HTTPS」が求められている理由について解説します。
目次
HTTPとHTTPSの違いとは
まず「HTTP」と「HTTPS」、それぞれの意味と両者の違いについて解説します。
HTTPとは「シンプルな通信」
HTTPとは、「Hyper Text Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)」というホームページを表示するための通信規格(プロトコル)のことです。
最近では、ユーザーは以下のようなさまざまな媒体から、自由にWebサイトを閲覧できます。
- パソコンやスマホ、タブレットなどのデバイス
- WindowsやMac、iOS、AndroidなどのOS
- Google ChromeやSafari、Internet Explorerなどのブラウザ
HTTPは、こうした異なる利用環境においても、ユーザーがWebサイトを円滑に表示できるようにするために存在している「共通ルール」といえるのでしょう。
HTTPでは、ユーザーがWebサイトの情報を閲覧しようとすると、「Webブラウザからサーバーにリクエストが送られる→サーバーがそのリクエストに応答する→Webサイトの情報が表示される」というシンプルな通信の仕組みになっています。
HTTPSとは「暗号化された通信」
HTTPSとは、「Hypertext Transfer Protocol Secure(ハイパーテキスト・トランスファー・プロトコル・セキュア)」という、SSL(暗号化通信)によりデータを暗号化しているHTTP通信のことです。
HTTPSは、その名の通り、HTTPで行われる通信を暗号化し、セキュリティを高めることを目的とした通信です。
最近では、急速にHTTPS化したホームページが増えており、本記事でも、HTTPS化することをおすすめしています。その理由やHTTPとの違いについては後ほどご紹介しますので、HTTPのホームページを運営している企業の方は、ぜひ参考にしてください。
HTTPとHTTPSの違い
HTTPとHTTPSの違いは、ユーザーの使用しているブラウザとサーバーの間で情報をやり取りする際の通信が暗号化されているかどうかにあります。
というのも、HTTPの場合には、「Webブラウザからサーバーにリクエストが送られる→サーバーがそのリクエストに応答する→Webサイトの情報が表示される」という通信の内容が丸見えになっています。
そこで、第三者に通信データを傍受された際にも、通信を暗号化することで、通信内容がわからないようにするSSLが導入されるようになりました。
以下に、両者の違いをわかりやすくイメージできるようにまとめています。
- HTTPのイメージ:ハガキ
第三者が通信を傍受した場合、ハガキであれば、内容を簡単に盗み見ることができる。
- HTTPSのイメージ:封筒に入った手紙
第三者が通信を傍受しても、封筒に守られているため、その内容を盗み見ることはできない。
このように、不正アクセスなどの悪意ある第三者による攻撃があった際に、情報漏えいのリスクを低減するために、HTTPS化が求められるようになっています。
セキュリティを高めるHTTPS通信の仕組み
HTTPSでは、セキュリティを高めるために、SSL「Secure Sockets Layer(セキュア・ソケッツ・レイヤー)」という暗号化技術を用いています。
「Webブラウザからサーバーにリクエストが送られる→サーバーがそのリクエストに応答する→Webサイトの情報が表示される」という通信のなかで、情報を暗号化するために「公開鍵」と「秘密鍵」という鍵を使用することで、暗号化を行っています。
SSLでは、暗号化の方式として「共通鍵暗号方式」と「公開鍵暗号方式」を組み合わせた「ハイブリッド暗号方式」を採用。いずれも、鍵を使って暗号化と復号(暗号化されたデータを解読し、元のデータに戻すこと)することで通信を暗号化していますが、それぞれの方式で特徴が異なっています。
ここでは、それぞれの方式の特徴を紹介します。
共通鍵暗号方式
データの送信者と受信者で、暗号化・復号において同じ鍵を使用する。そのため、解読される危険性があるが、処理速度が速い。
公開鍵暗号方式
データの送信者と受信者で、暗号化・復号における鍵が異なる。そのため、解読される危険性は低いが、処理速度が遅い。
ハイブリッド暗号方式
安全性の高い「公開鍵暗号方式」で秘密鍵を共有し、処理速度の速い「共通鍵暗号方式」でデータの送受信を行う方式。
「ハイブリッド暗号方式」は、「共通鍵暗号方式」と「公開鍵暗号方式」の良いとこどりの方式と理解してください。
また、HTTPS通信の仕組みに使われる「公開鍵」を使用するには、サイトの運営者情報を記したSSLサーバ証明書を発行する必要があります。認証局に、サイト所有者の実在が認証されると、SSLサーバ証明書と暗号化通信に必要な公開鍵が発行されるのです。
SSLサーバ認証書が発行されると、URLの左側に南京錠のマークが付与されるようになり、「この接続は保護されています」という認証を得られることになります。自社のWebサイトがHTTPS化されているかどうかを、一度確認することがおすすめです。
HTTP(非SSL)のデメリットとは?
ここでは、WebサイトをHTTPのまま運用することにより受ける可能性のあるデメリットを紹介します。
フリーWi-Fiの普及
最近では、空港やコンビニ、カフェ、ショッピングモールなど、さまざまな場所でフリーWi-Fiが導入されるようになっています。無料であることから、多くの人が利用するようになっていますが、フリーWi-Fiの中には、セキュリティの脆弱なものがあります。
また、多くの人が利用しているという性質上、個人情報などの情報を傍受しようとする攻撃者も多くなる可能性があり、情報漏えいのリスクが高くなりやすいのです。
そのため、フリーWi-Fiにおける情報漏えいの対策の一つとして、HTTPS化されたWebサイトのみを利用することが推奨されています。HTTP化していないと、外出しているユーザーからWebサイトへのアクセスを敬遠される可能性があるのです。
第三者のなりすまし
Cookieとは、ユーザーがWebサイトを閲覧した際の情報が、パソコンやスマホなどに送信され、情報が蓄積される仕組みのことです。Cookieの例としては、ECサイトのログイン画面や注文画面において、ユーザーの情報が自動的に入力されることなどがあります。
便利な機能ではある反面、Cookie情報が第三者に盗まれると、ユーザーになりすました第三者が個人情報を盗んだり、悪用したりするリスクがあります。
こうした情報流出を防ぐには、ホームページのすべてのページを常時SSLすることが対策の一つになっているのです。
現在では、個人情報の流出などが発生した場合、賠償責任だけでなく、社会的信用が失われるおそれもあります。特にHTTPS化していない場合には、企業としての社会的な責任を果たしていないと判断される可能性もあるでしょう。
GoogleはHTTPを推奨していない
2014年に、Googleアルゴリズムにおいて、ホームページがhttps化されているかどうかを検索順位の判定要素の一つとすることが発表されました。
Googleアルゴリズム
Googleがキーワードごとの検索順位を決めるための基準。SEO対策を実施するうえで必ず理解しておくことが求められる。
つまり、HTTPS化していないと、SEO対策において不利になる可能性があるということが発表されたのです。検索上位に自社のサイトが表示されなければ、ユーザーのアクセス数が減少し、思ったような効果が得られなくなるでしょう。
HTTPS化することにより、即座に大幅に順位が変わるわけではありませんが、長期的な目線で考えると、こうした小さな差が積み重なることで大きな差につながる可能性があります。そのため、HTTP化は、SEO対策の一環として実施することがおすすめです。
画面に警告が表示される
実は、HTTPS化されていないWebサイトを検索すると、以下のように警告が常時表示されるようになっています。
URLの隣に「保護されていない通信」と表示されるため、ユーザーにも一目でわかることから、アクセスを敬遠するユーザーも多くいるでしょう。そうすると、アクセス数の低下につながり、お問い合わせ数などのCVも減少する可能性があります。
また、こうした警告が表示されることで、Webサイトだけでなく、会社自体の不信感につながるおそれすらあるのです。
特にコーポレートサイトの場合には「会社のパンフレット」や「会社の玄関」といった役割をもっており、第一に消費者への信頼の獲得・醸成が求められます。そうしたなかで、画面に警告が表示されると、ユーザーに与える不信感は大きなものになってしまうでしょう。
最近では、HTTPS化が求められるようになっていることから、多くの企業がHTTPS化に踏み切っています。まだ、HTTP化していない企業の場合、ホームーページのリニューアルとともにSSLを導入することがおすすめです。
TRASPは、建築業や工務店、美容院、サロンなど、さまざまな業種におけるホームページ作成・運用代行の実績をもつWeb制作会社です。業種ごとの特徴に合わせながら、お客さまの求める結果が出るホームページ作成に取り組んできました。
相談は無料です。ホームページ制作を検討している担当者さまはお気軽にお問い合わせください。
お問い合わせはこちら
企業サイトをHTTPS化するにはどうすればいい?
最後に、自社のWebサイトをHTTPS化する方法をご紹介します。HTTPのWebサイトを運用している企業の方は、手順自体は簡単なので、なるべく早急にHTTPS化することをおすすめします。
1.取得するSSLサーバー証明書を選択する
SSLサーバー証明書は、認証内容により認証レベルの異なる以下の3種類にわけられています。
ドメイン認証(DV)
ドメインの所有者とSSL証明書の申請者が一致することを証明しており、ドメインの使用権を保持することの証明となる。キャンペーンページなどに使用されている。
企業実在認証(OV)
ドメイン認証に加え、企業が存在していることを証明するもの。企業が実在している証拠になるため、コーポレートサイトなどに使用されている。
EV認証(EV)
世界的な認証ガイドラインにもとづいて、厳格な審査を実施したうえで証明書が発行される認証。多くの手間や費用がかかる一方で、高い信頼性をアピールできることから、決済情報を扱うネット銀行やオンラインショップなどで使用されている。
信頼性が高い認証は、「EV認証>起業実在認証>ドメイン認証」の順になっています。企業実在認証やEV認証は、法人が発行対象であることから、印鑑証明や登記簿謄本など、企業が実在する書類が必要になることがあります。
2.CSR(証明書署名要求)を作成する
HTTPS化するためには、SSLサーバー証明書を取得しなければなりません。そのためには、CSR(証明書署名要求)を作成する必要があります。
作成手順は、各レンタルサーバーごとに作成手順が異なりますので、確認してください。
3.SSLサーバー証明書を申請する
SSLサーバー証明書を申請します。利用しているレンタルサーバーの管理画面から、SSL証明書の発行を申請してください。
必要となる準備物・費用について、事前にレンタルサーバーのWebサイトより確認しましょう。
4.取得後、SSLサーバー証明書をインストールする
ドメイン所得者の確認や審査実施後、SSLサーバー証明書が発行されます。その後、SSLサーバー証明書をインストールしましょう。
こちらの手順も、レンタルサーバーごとに異なるため、確認してから実施してください。
5.作成したHTTPSのサイトにリダイレクト設定する
「http://」だった自社のWebサイトにアクセスしたユーザーを、「https://」のWebサイトに誘導できるように、リダイレクト(転送)設定を行いましょう。
リダイレクト設定をすると、ユーザーのアクセス機会損失を防ぐだけでなく、SEO評価も引き継ぐことができます。
まとめ
この記事では、「HTTP」と「HTTPS」の違い、「HTTPS」の通信の仕組み、「HTTPS」が求められている理由について解説しました。
自社が運営するWebサイトのセキュリティを高め、ユーザーに安心してアクセスしてもらうために、HTTPS化は欠かせない施策といえるでしょう。しかし、HTTP化を自社で実施することに不安な企業の方もいるかもしれません。
その場合には、ホームページ構築・運用のプロであるWeb制作会社に相談することがおすすめです。
TRASPは、建設業界や飲食業、エステ、美容室などさまざまな業種のWebサイトの作成の実績があります。SEO対策やコラム運用までトータルプロデュースが可能なWeb制作会社です。
Webの知識がない方でも一から丁寧にサポートしておりますので、まずはお気軽にご相談ください。
お問い合わせはこちら
