もはや私たちの生活の一部となっているインターネット。サイトを閲覧する際、URLの中にhttpから始まるものとhttpsから始まるものの2種類があることにお気づきでしょうか。実はこの違いは、情報セキュリティに関わる大きな違いを表しているものです。
そこで今回は、httpとhttpsの違いについてはもちろん、サイトの閲覧者・運営者それぞれの立場から、安全にインターネットを利用するためのポイントについて解説します。
httpとhttpsについて知る
そもそもhttpとhttpsとは、パソコンやスマートフォンとサーバーがやりとりするときの通信の種類を表したものです。ここでは、それぞれがどういったものなのかについて知るところからはじめていきましょう。
httpとは?
httpというのは、Hyper Text Transfer Protocolという言葉の略称です。ホームページを閲覧している人とサーバーの間で、ホームページに記載されている文字や画像などの全ての情報を通信するときの通信規約となっています。
httpでは、その通信が暗号化されていないため、通信の内容が漏洩しやすくなっています。
httpsとは?
httpsとは、Hyper Text Transfer Protocol Secureという言葉の略称です。文字通り、httpにセキュリティという言葉が加わったものとなります。これは、SSLというセキュリティ機能を持った通信規約です。
つまり、httpとhttpsの違いは、SSL対応の有無によるセキュリティ機能の違いとなっています。
SSLとは?
SSLはSecure Socket Layerの略称で、通信内容の暗号化、通信相手の真正性、データの改ざんがないかどうかチェックする機能を持っています。
たとえば名前や住所、電話番号などの個人情報、通信販売を利用するときに入力したクレジットカードの情報、システムにログインするためのパスワードなどを暗号化して通信できます。情報の漏洩を悪意ある第三者から守ることで、安心してインターネットを使えるようになるでしょう。
また、通信相手の真正性を確かめるために、「SSLサーバー証明書」を利用し、その運営者が信頼できるかどうか確認することも可能です。
httpsでも信用できない?信頼できるサイトかどうかを見分ける方法
httpsはhttpよりもセキュリティ機能に優れていることがわかりましたが、残念ながらhttpsだからと言って100%安全であるとは言い切れません。
なぜなら、通信相手が偽物である可能性も否定できないからです。ここでは、信頼できるサイトかどうかを確かめる方法についてみていきましょう。
SSLサーバー証明書を確認する
まずは、SSLサーバー証明書を確認してみましょう。SSLサーバー証明書には、ドメイン認証と企業認証、EV認証という3種類があります。ドメイン認証については、ブラウザの左上にある鍵のアイコンをクリックし、証明書というウインドウの中から詳細、サブジェクトを選択することで確認できます。しかし、ドメイン認証は、そのドメインの保有者であれば誰でも保有できるため注意が必要です。
一方で、企業認証であれば、ドメイン名の使用権に加えて、組織の法的実在性を確認できます。企業認証は、ドメイン認証と同じ画面の「O」という項目で確認できます。
また、EV認証であれば、さらに組織の運営や承認者・署名者の認証まで確認できるため、より安全だと言えるでしょう。ホームページのアドレスバーの左側に企業名が表示されている場合には、それがEV認証されたホームページであることを証明していることになります。
URLや企業情報を確認する
最近の詐欺サイトには、アマゾンや楽天などの大手通販企業のように見せかけた偽サイトが多くあります。それらを見抜くためには、URLに企業名が入っているか確認することが大切です。
また、問い合わせ先として設定されているメールアドレスにも企業名が入っているかどうか、振込先が個人名ではなく企業名になっているかどうか、連絡先として固定電話番号が掲載してあるかどうかもチェックしましょう。
運営サイトにSSLを導入するためには?
もし自身の運営するサイトにSSLを導入したいという場合には、どうすればよいのでしょうか。ここでは、その方法についてみていきましょう。
SSLの導入方法
WebサイトにSSLを導入するためには、「SSLサーバー証明書」をサーバーにインストールしなければなりません。これらは、自分の手によって発行できるものではなく、第三者機関によって審査を受けた上で発行されるものです。なかでも、ドメイン認証は比較的低価格で、素早く認証を受けることができます。
一方で、企業実在認証やEV認証は、発行に時間がかかる上に費用も高くなる傾向にあります。とはいえ、個人情報を取り扱うショップやクレジットカードの情報を入力する必要があるサイトなどの場合には、安全なサイト作りのためにも、これらの導入を検討するのがおすすめです。
SSLは更新が必要
SSLというのは、一度導入すれば終わりというものではありません。なぜなら、SSLサーバー証明書には有効期限が設けられているからです。更新は、基本的に期限が切れる90日前から可能となっていますので、忘れずに行うようにしましょう。
まとめ
httpとhttp”s”の違いは、SSLというセキュリティ機能の有無にあるということがわかりました。サイトを閲覧したり利用したりする際には、SSLサーバーの証明書を確認し、信頼できるサイトであるかどうかチェックしてから利用することが大切です。
サイトの運営者である場合には、安全なサイトを運営するためにも、ぜひSSLの導入を検討しましょう。