httpsやhttpとウェブサイト上部にあるURL表記を見たことはありますか?Webサイトによってこの表記は異なります。この違いはいったい何なのでしょうか?今回はhttpとhttpsの違いについてご紹介します。
HTTPは「HyperText Transfer Protocol」の略で、1980~1990年代にかけてティム・バーナーズ=リーとロバート・カイリューによって開発された技術です。
HTMLやXMLで記述されたハイパーテキストを使ってネットワーク上で通信する仕組み(プロトコル)で、画像や音声といったデータを取り扱うことも可能です。これらのデータをサーバとクライアントの間で通信するときの通信規約(プロトコル)が、HTTPです。
要するに、ホームページを構成しているhtmlファイルや画像ファイルなどの情報を、自分のパソコンで受け取り閲覧するためのしくみのことを言います。
Webブラウザのアドレスバーにhttp://~とついている”http”というのがまさにそれで、この場合、HTTPで通信しているということを示しています。
この便利なhttpの落とし穴とも言えるところは、第三者が通信の内容を見ることができるという点です。
知識があるものであれば、簡単にその内容を見ることができるでしょう。
もし万が一個人情報を入力するためのページがhttpだった場合、入力した情報が第三者に見られてしまう可能性が非常に高いのです。
そこで、第三者に情報を盗み見られることを防ぐために、通信を暗号化する技術が開発されることになりました。
HTTPSは「HTTP over SSL/TLS」の略で、httpに暗号化技術を適用したものとなります。
SSLは「Secure Socket Layer」、TLSは「Transport Layer Security」の略で、それぞれネットワーク上で暗号化通信する仕組み(プロトコル)です。
現在はTLSで暗号化を行なっており、SSL自体は使用されていません。ですが、今もなおSSLという言葉がメジャーなためにTLSをSSLと呼んでいるのです。
Webブラウザのアドレスバーにhttp://ではなく、https://とついている場合、httpsで通信しているということを示しています。合わせて鍵のマークが表記されているでしょう。
httpsにする目的としては、個人情報や機密情報といった第三者に傍受されたくない情報を含んだ通信を安全に行いたい場合に必要とされます。
ECサイトやインターネットバンキング、メールフォームなどの個人情報を入力するサイトやページに適用され、通信中での第三者によるなりすましなどを防止します。
以前は、ログイン画面等の個人情報を入力するページのみがHTTPS、その他はHTTP、というWebページの構成も多くありましたが、最近ではコーポレートサイトや、サービスサイトなどの個人情報を取り扱わないサイトでも使用されるようになってきました。
Webサーバがhttpsに対応するためには、信頼性が高いと認められた認証局(CA:Certification Authority)から発行されたSSLサーバ証明書というものを取得しないといけません。
SSLサーバ証明書とは、Webサイトの所有者の情報、送信情報の暗号化に必要な鍵、発行者の署名データを持った電子証明書です。
この証明書は暗号化通信に必要なものであると同時に、そのサイトが信頼できるサイトであることを証明しています。
なお、SSL証明書には期限が定められていて、その期限を過ぎても証明書が更新されてない場合、Webブラウザでは証明書に問題がある旨のエラーが表示されます。
また、このエラーはSSL証明書の期限切れだけでなく、正式に取得していない証明書の場合にも表示されます。
もしインターネット上のWebサービスを閲覧した際にこのエラーが出た場合、このサイトはなりすましの可能性がある、期限切れの証明書を使用しているなど、信頼性が低いサイトであると判断できます。
Googleでは、Webサイトの全てのページをhttps化(SSL/TLS暗号化)することを求めています。いわゆる常時SSL化です。
最近では、Google検索サイトでの検索順位に影響するようになりました。さらに、WebブラウザのGoogle Chromeではhttpで通信しているだけで、「保護されていない通信」という警告が表示されるようになったのです。
このような警告を表示させないためにWeb担当者がSSLを取得し、httpsに切り替わっていくようになるでしょう。
今後の動きとして、すべてのサイトがhttps化(常時SSL化)されていくと考えられます。
httpとhttpsの違いは単に暗号化の有無といった技術的な違いだけでなく、Webサイトの信頼性の違いということも重要視されるようになってきたことをお話しました。
この結果、多くのWebサイトを運営している企業では、管理すべきSSLサーバ証明書の数が増え、その管理を万全に進める対応が必要となってくるようになりました。
サイトを訪問する際にアドレスバーに注目して、信頼性が高いサイトなのかチェックするように意識してみるのはいかがでしょうか。
意識的に取り組むことによって、個人情報を安全に取り扱うことができるようになりますね。
Webセキュリティ対策としておすすめなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
https://www.shadan-kun.com/
(2017/6/20執筆、2019/5/22修正・加筆)
この記事と一緒に読まれています
2017.06.19
セキュリティ対策
2019.06.06
セキュリティ対策
2019.10.02
セキュリティ対策
パスワード管理の強い味方、シングル・サインオンについて知ろう!
2020.03.02
セキュリティ対策
2022.01.21
セキュリティ対策