- 更新:2020.05.25
- 公開:2020.04.26
サイトを運営されているみなさん、常時SSL化(Webサイト全体のhttps化)は完了していますか?
サイト全体のhttps化はもはやWebの常識となっており、Googleのデータによれば2020年頭の時点でGoogleのサービス全体の94%が暗号化されています。
本記事では、httpとhttpsの違いやhttps化のメリットなどhttpsにまつわる基本情報をまとめました。まだhttps化が済んでいない方、https化は済ませたけどもう一度基本を押さえたい方はぜひご確認ください。
httpとhttpsの違いは“通信内容が暗号化されるかされないか”
httpとhttpsの違いは“通信内容が暗号化されるかされないか”です。
httpは「Hyper Text Transfer Protocol」の略で、データをサーバーとWebブラウザなどのクライアントの間でやり取りする際の“通信手順”を意味します。“Webの考案者”ティム・バーナーズ・リー氏が1991年に考案しました。HTML、CSS、画像、音声、動画などホームページを構成するデータはhttpに従ってやりとりされてきたのです。
httpsは「Hypertext Transfer Protocol Secure」、つまり「“Secure(安全)”なhttps」ということです。httpでやり取りされるデータは第三者が閲覧したり改ざんしたりすることができます。そこでデータを暗号化し、第三者から保護する目的でhttpsが開発されました。
httpsはSSL/TSLという技術で送受信される情報に鍵をかけ、サーバーとクライアントだけに配布します。そのために必要なのが「SSLサーバー証明書(SSL証明書)」。SSL証明書を発行し、サイトのサーバーにインストールすることでhttps化が行えます。
サイト全体をhttps化することを「常時SSL化」といい、現在ではほぼサイト構築の必須事項となっています。常時SSL化の対象はサイトのURLだけでなくサイト内に設置された画像、動画、スクリプトなどにも及びます。Googleは常時SSL化を推進しており、Chrome81からはhttpsページにhttp要素が含まれる混合コンテンツは一定の措置の上、ブロックされることが発表されました。
https化の3つのメリット
https化のメリットをさらに詳しく、3つのポイントで見てみましょう。
サイト利用者の安全が守れる
なんといっても第三者によるデータの閲覧・改ざんのリスクを防ぎ、サイト利用者の安全性を高められることがhttps化の最大のメリットです。
httpのままでは、例えばサイトに入力された利用者のID・パスポートや住所、クレジットカードの認証情報が外部に流出してしまいかねません。そこまで重要な情報が入力されるページではなくとも、データを改ざんして勝手に広告を挿入されたり、なりすましサイトへ誘導されたりするリスクが存在します。
httpsでは鍵による暗号化と証明書による真正性の保証によりこれらの問題に対抗することができます。
サイトの信頼性を証明できる
安全性の証明に付随して、サイトの信頼性を証明できるのもhttp化のメリットです。
サイトをhttps化するとアドレスバーの左端に「鍵マーク」がつきます。反対にhttps化されていなければ「!マーク」が表示されユーザーに危険性が報告されることになります。
https化されているサイトのURL
https化されていないサイトのURL
SSL証明書は「ドメイン認証(DV)」「企業認証(OV)」「EV認証(EV)」の3種類に分類されます。後者ほど発行に手間やお金がかかる代わりに管理者についてしっかりと調べられるため、信頼性の高さを証明できます。
ブラウザによってはEV認証の場合、URLが緑色で表示されたり、企業名が表示されたりと見た目にもわかりやすくなります。ドメイン認証はSSLサーバー証明書の使用権のみを証明するもので、「Let’s Encrypt」など無料のサービスも存在します。
サイトのSEOにおいて有利に働く
https化はサイトのSEO(検索エンジン最適化)において有効に働きます。なぜならGoogleを初めとする検索サービスの運営会社が安全性の高いhttps化を推進するためにSEOでの優遇を明言しているからです。
常時SSL化がされていなければ、前述のようにサイトがブロックされて表示されなくなる、検索順位が下がってしまう、といったSEO上の問題が生じます。
httpsであれば100%安全というわけではない
常時SSL化をすませればサイトは100%安全といえるのでしょうか?
──実は、そういうわけではありません。
前述の通り、サイトのSSL証明書はドメイン認証であれば誰でも取得することができます。そのため、鍵付きマークでURLが表示されたサイトが実は詐欺会社が用意したフィッシング詐欺サイトだったという場合もあり得るのです。
サイトの信頼性を確かめるためには以下のような項目をチェックすることが重要です。
・SSL証明書の種類はDV・OV・EVのいずれか
・サイトの運営元は名前の通った企業か
・ネット上に詐欺の被害にまつわる口コミはないか
・実店舗はあるか
・電話番号やメールアドレスなど連絡先が用意されているか
・連絡先は明らかに個人が用意したものではないか
SSL証明書の中身は「F12もしくは右クリックして『検証(Ctr + shift + I)』を選択」でデベロッパーツールを起動し、「Security」タブを選択。そこで「View certificate」をクリックし、「詳細」タブの項目から「サブジェクト」を選択すれば確認できます。
デベロッパーツールによるSSL証明書の確認画面
終わりに
httpとhttpsの違いを発端にhttpsのメリットや実は存在するリスクなどについて解説いたしました。
サイトの運営においてもはや常時SSL化は欠かせないことが伝わったのではないでしょうか。
サイトの安全性をしっかりと確保して、よりよいコンテンツを生み出していきましょう!
参考資料 ・httpとhttpsの違いとは? 知っておきたいウェブセキュリティの常識と今後┃Norton Blog ・ウェブ上での HTTPS 暗号化┃Google透明性レポート ・HTTP 【 HyperText Transfer Protocol 】 ┃e-Words ・No More Mixed Messages About HTTPS┃Google Chrome ヘルプ ・大津 繁樹「今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景」┃エンジニアHub Powered by エン転職 ・なぜ、HTTPSにはSSL証明書が必要?暗号化通信の仕組みを確認┃常時SSL Lab. ・崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない┃日経XTECH
(宮田文机)
Eye Catch Design by Go Uchida
