HTTPとHTTPSの違いとは？

今回は、インターネットを利用する上でよく目にする「HTTP」と「HTTPS」の違いについて説明します。

HTTPとは？通信プロトコルの基本を解説

HTTP（Hyper Text Transfer Protocol）とは、ホームページ内の文字や画像などのデータを、サーバと通信相手（ホームページ閲覧者）との間で通信するための 通信規約（プロトコル）です。私たちがインターネットを介して検索をしたり、ホームページやブログ記事を読んだりする時は、HTTPを使ってサーバと通信相手との間でやりとりがおこなわれます。

PCやスマートフォンなどインターネットを利用している環境が異なる場合も、共通の通信規約を定めることで、同じ手順でホームページのデータをやりとりできます。

HTTP通信の仕組みと主な機能

次に、具体的なHTTP通信の仕組みについて見てみましょう。HTTP通信は、インターネット利用者がサーバにリクエストをして、そのリクエストに対してサーバがレスポンスをするという形で実行されています。たとえば、ユーザーがブラウザのURL欄に「www.example.com」と入力してページを開こうとすると、まずそのドメイン名がIPアドレスに変換され、接続先のサーバが特定されます。その後、ブラウザ（クライアント）は、そのサーバに対して「このページをください」というリクエスト（要求）を送信します。

サーバへのリクエストにはいくつかの種類があります。頻繁に使用されるのは「GETリクエスト」です。サイトに接続をしてページを読み込むために、特定の情報やリソースなどを要求します。その他、ページのヘッダー情報のみ受け取る「HEADリクエスト」、データを送信するための「POSTリクエスト」などがあります。

HTTPのステータスコードとは

HTTP通信でのリクエストは、3桁の数字で返答されます。この3桁の数字を「ステータスコード」と呼びます。ステータスコードは番号によってブラウザの処理内容が違い、それぞれ意味も異なります。

【参考】エラー表示画面

HTTPSとは？暗号化通信の仕組み

HTTPS（Hyper Text Transfer Protocol Secure）とは、SSLを利用したHTTP通信です。SSL（Secure Socket Layer）とは「通信内容を秘匿する暗号機能」「通信相手の真正性」「通信データが改ざんされていないか検知する機能」の3つの機能を持った通信規約（プロトコル）を指します。プロトコルとは、簡単に言うとルールです。

HTTPSのメリットとして、以下のものが挙げられます。

• インターネット上の通信を暗号化することで、データの盗聴・改ざん、なりすまし被害の防止につながる
• Webサイトの表示速度の高速化につながる
• Googleなどの検索エンジンから「信頼のおけるコンテンツ」として評価されやすくなる

HTTPSの暗号化通信には「共通鍵暗号方式」と「公開鍵暗号方式」、その両方を用いた「ハイブリッド方式」があります。共通鍵暗号方式は、暗号化・複合化ともに同じ鍵を使用してデータの送信側と受信側のみで共有されるのに対し、公開鍵暗号方式では暗号化と複合化で違う鍵を利用するのが特徴です。

 SSL/TLSとは何か？

SSL（Secure Sockets Layer）およびTLS（Transport Layer Security）は、インターネット上での通信内容を第三者に盗み見られたり、改ざんされたりしないように守るための暗号化プロトコルです。TLSは、SSLの後継プロトコルで、SSLに比べてより安全に通信を確保しやすいプロトコルと言えます。

SSL/TLSは言わば暗号化のルール（仕組み）ですが、その仕組みを使い安全にしたHTTPがHTTPSです。

HTTPとHTTPSの違い

HTTPとHTTPSの違いは、「通信が暗号化されているかどうか」です。HTTPは通信が暗号化されていないため、第三者にデータの改ざんや情報が漏えいしてしまう可能性が高いのに対し、HTTPSは通信が暗号化されているため、データの改ざんや情報漏えいなどの危険性が低いとされています。

HTTP（非SSL）とHTTPS（SSL）の見分け方

HTTPとHTTPSの簡単に見分けるには、アドレスバーを確認しましょう。HTTPSの場合、URLの先頭が「HTTPS://」から始まり、ブラウザに🔒マークが表示されます。一方でHTTPはURLの先頭が「HTTP://」から始まり、ブラウザに⚠️マークが表示されます。

主要ブラウザの警告表示の違い

Google ChromeやSafari、Firefoxなど、主要なWebブラウザでは「HTTP」のWebサイトの表示時に警告が出る場合があります。例えば、Google Chrome68以降では「保護されていない通信」という表示が出るようになっています。その他にも、Safari12.1以降では「安全ではありません」といった警告が出る仕様になりました。

HTTPの危険性と具体的な脅威

現代においてインターネットは生活に欠かせないものであり、多くの人が利用しています。そのため不正アクセスや通信経路の盗聴、データ改ざん、サイバー犯罪も一般化してきています。通信内容が暗号化されていないHTTPは、このような犯罪が行われる可能性が高く、決して安全とは言えません。

郵便を例に挙げるとHTTPは「はがき」で、HTTPSは「封筒に入った手紙」です。はがき（HTTP）は、配達途中に悪意のある第三者が現れた場合、中身が見えてしまい、更に書き加えることもできてしまいます。そのため、以下のようなリスクが発生する可能性があります。

• パスワードの盗聴
• クレジットカード情報の漏洩
• フィッシング詐欺
• 中間者攻撃

一方、封筒に入った手紙（HTTPS）は封筒(暗号化)により中身が受け手以外に見られることはなく安全です。

HTTPSの安全性と限界

暗号化されているHTTPSはHTTPよりも安全と言えますが、厳密には「通信相手が正しい場合」でないとデータを守ることはできません。そこで、通信相手を確認する手段として「証明書（SSLサーバ証明書）」があります。SSLサーバ証明書とは、SSL暗号通信時に利用する証明書でサーバに対する印鑑証明書のような役割があります。

SSL/TLS通信の暗号化に使用する公開鍵（暗号鍵）とコモンネーム（FQDN）やドメインの所有者情報を、認証局が紐づけて証明書を発行します。発行されたSSLサーバ証明書はWebサーバやメールサーバにインストールします。

しかし、最近ではSSL証明書までもが悪用され、偽物のWebサイトから個人情報を盗んだり、悪質なマルウェアに感染させたりといった被害も出ているため、必ずしも「HTTPSのサイト＝安全なサイト」ではないことは把握しておきましょう。

SSLサーバ証明書とは ーWebサイトの信頼性を保証する電子証明書

SSLとは「Secure Sockets Layer 」の略で、SSLサーバ証明書とはウェブサイトが安全な通信をおこなうためのデジタル証明書です。SSLサーバ証明書は、認証局（CA）と呼ばれる信頼できる機関が発行しており、サイトが信頼できるものであることを証明し、ユーザとサーバ間のデータ通信を暗号化します。SSL証明書には、以下3段階の認証レベルがあります。

• ドメイン認証
• 組織認証
• EV認証

これらは、それぞれ取得可能な対象や認証局が実施する確認項目に違いがあり、信頼性も異なります。特に厳格な審査が行われ取得難易度が高いのは、EV認証です。世界的な認証基準に基づいて審査がおこなわれ、発行までに時間もかかりますが、悪用されにくく信頼性も高いとされています。

一方、ドメイン認証は有償のものと無償のものがあり、短期間かつ個人での取得が可能です。 

SSLサーバ証明書の確認方法

上記で紹介したSSLサーバ証明書は、いずれもWebサイトから簡単に確認することができます。以下の手順で是非、普段見ているWEBサイトで確認してみてください。

※Windows/Chromeの確認方法です

1. ブラウザ左上の🔒ボタンをクリックします。
2. 「証明書」のウィンドウが表示されます。
3. 「証明書」ウィンドウの「詳細」タブから「サブジェクト」のフィールドを選択すると、下段枠に「CN = 」から始まる文字列が確認できます。この文字列がホームページのドメイン名です。

ここに発行者（発行元）がある場合は、EV認証を受けていることを示します。発行者がなく、「CN」しかない場合はドメイン認証、「O、L、S、C」がある場合は企業認証です。

SSL証明書によっては、シールでその適用や運営サイトの情報を確認できるようになっているケースもあります。Webサイトに貼り付けられているシールがあれば、そこから詳しい情報を確認してみましょう。

信用できるサイトなのかの見極め方

SSLサーバ証明書の確認方法などお伝えしてきましたが、近頃はこの証明書さえサイバー犯罪に悪用されています。先ほどお伝えした「ドメイン認証」は、企業でも個人でもドメインの所有者であれば無料で誰でも保有することが可能です。ドメイン名の正当な所有者であることが認証されたうえで発行されますが、連絡先のメールアドレスに電子メールを送信するだけで、それ以上の確認はおこないません。そのため、所有者がサイバー犯罪者であったとしても証明書を保有できてしまうのです。
 
次の章で信用できるWEBサイトなのか見極める方法をご紹介しますので、SSLサーバ証明書の確認と併せて以下も実施してみてください。

URLを確認する前に知っておきたい正規サイトの特徴

正規サイトと偽サイトを見分けるために、正規サイトの特徴を押さえておきましょう。

• トップレベルドメインが.comや.co.jpなど信頼できるものを使用している
• サブドメインが不自然でない
• HTTPSで保護されている

まずはURLの冒頭を見て「HTTPS」から始まるかどうかチェックしましょう。

また、一般的なドメインかどうかも確認することをおすすめします。「.com」や「.co.jp」、「.net」は一般的なドメインとして広く使われていますが、「.xyz」や「.online」、「.fun」といったドメインは偽サイトでも使われる傾向にあります。もちろん、正規サイトでも使われているため、総合的な判断が必要です。

一見、サイト上ではamazonや楽天のように見えても、URLを確認すると「amazon.co.jp」、「rakuten.co.jp」ではないことがあります。近年、大手通販企業を真似した偽サイトが多く存在していますので見た目だけではなく、URLもしっかり確認することが大切です。

サイトに掲載されているメールアドレスがフリーメールになっていないか

問い合わせページ等に記載されているメールアドレスが@gmail.com、@yahoo.co.jp、@outlook.comなどフリーアドレスになっていないかどうか確認してください。多くのサイトでは、会社名やサービス名などに関係している独自ドメインのメールアドレスを利用しています。
フリーアドレスの場合は、詐欺サイトの可能性もありますので注意が必要です。

サービスの口コミ情報を調べる

企業名やサービス名などで口コミを検索した際に、「詐欺被害にあった」という内容が見られた場合は利用を避けましょう。

セキュリティ対策で安心！弊社のSSL対応メール配信サービス

メール配信サービス「アララ メッセージ」は、SSLを利用し送信メールサーバから受信側のメールサーバまでの通信を暗号化する「STARTTLS」という仕組みを取り入れています。ほかにも、「SPF」や「DKIM」といったメールセキュリティに関する機能も十分に施されています。
「メールを暗号化して送りたい」といったご要望がある方は、ぜひお気軽にお問い合わせください。

HTTPSの導入メリットと注意点

HTTPSを導入することで、検索エンジンでの評価が優遇されやすくなります。また、ユーザからの信頼も得やすくなり、安心して閲覧できる環境を提供することで良いリアクションも期待できるようになるでしょう。
しかし、HTTPからHTTPSに移行すると、サーバ負荷が増加する可能性があるため注意が必要です。また、移行時にSSLサーバ証明書を取得・インストールし、適切に動作するかなどの確認や管理責任の所在を明確にしておくと良いでしょう。

HTTPとHTTPSについてよくある質問と回答

Q1．HTTP、HTTPSとは何ですか？

HTTPとは、ホームページ内の文字や画像などのデータを、サーバと通信相手（ホームページ閲覧者）との間で通信するための 通信規約（プロトコル）です。HTTPSとは、SSLを利用したHTTP通信です。簡単に言うと、HTTPSとはHTTPにセキュリティ機能を追加したものとなります。

Q2．HTTPはなぜ危ないのですか？

通信内容が暗号化されていないHTTPは、不正アクセスや通信経路の盗聴、データ改ざん、サイバー犯罪などが行われる可能性があります。決して安全とは言えません。

近年、主要なブラウザにおいてHTTPSから始まるWebサイトは、注意や警告のマークが表示されるようになっており、ユーザーに注意を促すようになっています。

Q3．HTTPSにするにはどうしたらよいですか？

HTTPからHTTPSにするためには、「SSLサーバ証明書」を取得し、証明書をサーバへインストールする必要があります。

SSLサーバ証明書は、第三者機関の認証局が対象のWebサイトのドメイン使用権の確認や運営者の実在性などを審査した上で発行されます。「ドメイン認証」、「企業実在認証」、「EV認証」の3種類がありますが、Webサイトの利用目的や予算に合わせて選択すると良いでしょう。

導入事例はこちら

関連コラム