httpsって知っていますか?今さら聞けない基礎知識

クイズに答えてシリコンバレーへ行こう!

[目次]

”http://”と”https://”の違いを明確に答えられますか?そもそも、違いを意識したことはありますか?
見たことはあるような気がするけど説明するのは難しいな、という方も多いのではないでしょうか。

ここでは、HTTPSの基礎知識を簡単に説明します。

HTTP、HTTPSはデータをやり取りするための世界共通のルール

さて、そもそも"http://"や"https://"とはなんなのでしょうか。

ものすごく簡単にいうと、「ホームページを表示するための世界共通のルール」です。
「ホームページを見るときに、アドレス(URL)の最初に必ず付けないといけないもの」くらいの認識の方もいらっしゃるかもしれませんね。

それはそれであっています。
ホームページを閲覧する上では欠かせないルール(約束事)なのです。

少しだけ技術的(?)に説明するなら、ホームページのデータはサーバー上に保管されています。ホームページを閲覧するときにはブラウザを利用しますよね。

サーバーとブラウザ間でデータのやりとりをしないとホームページは表示されないわけですが、このときに、サーバーやブラウザごとに独自ルールをつくっていたら、アクセスする環境によっては表示できない。といった問題が発生してしまいます。

そこで、全世界でホームページを表示させるための統一のルールを作りましょうということになりました。
それが"http://"や"https://"です。

つまり、サーバーとブラウザ間のデータのやりとりは、「HTTP(S)」というルールに従って行いましょう。ということです。

「HTTP(S)」はプロトコルとも呼ばれますが、ホームページを閲覧するときのプロトコルは「HTTP」や「HTTPS」、メールを利用するときのプロトコルは「SMTP」や「IMAP」など、利用用途によってデータをやり取りする際のルールが決められています。

HTTPSの「S」はSecure(セキュア)の「S」

HTTPSは、HTTPにSecure(セキュア)の「S」を追加したものです。
"https://"の場合は、データのやりとりをセキュア(=暗号化)な状態で通信していますよ、ということです。

逆にいうと、"http://"は暗号化されていないデータをそのままやりとりしている状態です。

ホームページのURLをよく見てみると、"http://"と"https://"が存在していることに気付くはずです。
よく似ているので大した違いはないんじゃないの。と思われがちなのですが、「s」があるのとないのとでは大違い。

知っているのと知らないのでは、サイトのセキュリティ対策にも大きな差が出てきます。

通信状態の違い

これだけ聞くと、「"http://"より"https://"のほうがセキュアなんだしイイに決まっている!」と思うのですが、現状では、httpで運営されているサイトのほうが圧倒的に多いです。

HTTPとHTTPS。ユーザーが見分けるにはどうすればいい?

"http://"と"https://"のホームページ。ユーザー側で見極めることはできるのでしょうか。
ユーザー側での確認方法は、ホームページのURLをみればすぐにわかります。

ほとんどのブラウザでは、上部にアドレスバー(URLを表示する項目)が表示されています。
URLの先頭が"http://"か"https://"で確認することができます。

(図1)https通信時のアドレスバーの表示

”https://”から始まるURLでも、ブラウザや、SSLサーバー証明書の種類によって、見え方が違うのでよく観察してみてくださいね。

ここでポイントとなるのが、アドレスバーにひっそり(?)と表示されている鍵マーク。
「HTTPS=暗号化」なんだから、鍵マークが表示されているのは当たり前と思われがちですが、そうでもないのです。

下図の例をみてください。

URLは"https://"から始まっているのに、エラーや×印が表示されています。
これはどういうことでしょうか。

(図2)https通信時のアドレスバーの表示[エラー]

HTTPSで暗号化ができていれば安全?!

先ほども説明したように、ホームページへのアクセス時に"https://"の宣言をすれば、暗号化通信は行えます。
(もちろん、事前にサーバー側でHTTPS通信を許可したり、HTTPSでホームページを表示できるように準備する必要があります)

では、通信データが暗号化できていれば「安全」なのでしょうか?
実は、必ずしも「安全」だとは言えないのです。

ホームページ上から商品を購入する場合を想定してみましょう。

ここまで読んでくれた方は、まず、ホームページで商品を買うときに、個人情報やクレジットカード情報を入力するページが"https://"から始まっていることを確認するでしょう。

だって、個人情報などの重要な情報は、暗号化通信がされていないと不安ですよね。

  • よしよし。"https://"から始まっている。
    アドレスバーにエラーがでてるけど、"https://"の通信だからから安全だわ。このまま進めよう!
  • いや!ちょっとまって。ほんとにそのまま進んじゃっても大丈夫?
    通信自体は暗号化されているけど、その情報を誰に渡そうとしているの?
    データを渡す相手ってほんとに信用できる会社なの?本物なの?

疑いだしたらキリがないですが、自分の情報を守るためには重要なことです。

この場合、ポイントとなるのは「アドレスバーにエラーがでている」ということ。まさに(図2)の状態ですね。
これは、ブラウザが「今、アクセスしているサイトは大丈夫?」と警告をだしてくれているのです。

近年、実在する銀行やクレジットカード会社になりすまして利用者からIDやパスワード、クレジットカード番号などの個人情報を盗み取る「フィッシング詐欺」と呼ばれるインターネット上の犯罪が増加しています。

あなたの大切な情報を渡そうとしているのは、ひょっとしたら本物になりすました偽サイトかもしれません。

本物サイトと偽物サイトの見分け方はある?

では、本物のサイトと偽サイトを見分ける方法なんてあるのでしょうか。

答えは「あります」!
それは、サイトに設定されている「SSLサーバー証明書」を確認することです。

ブラウザのアドレスバーに表示されている鍵マークをクリックしてみると、そのサイトの所有者、証明書の発行期間などの情報が表示されます。

ここに表示されている情報が、Webサイト運営者の身元を証明しています。

(図3)SSLサーバー証明書/サイト運営者の確認

フィッシングサイトのように、見た目を同じようにコピーした偽サイトでも、SSLサーバー証明書の情報をコピーすることはできません。

なので、この情報を確認することで、本物のサイトを見分けることができるのです。

フィッシングサイトもどんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。

サイトの見た目だけで判断するのではなく、ブラウザの鍵マークをクリックして確認しましょう。

この記事のポイント

  • HTTPの通信だとデータが丸見え、HTTPSの通信はデータが暗号化
  • HTTPとHTTPSはURLで簡単に見分けられる
  • 偽サイトを見破るには、ブラウザの鍵マークをクリック!