ブログ

BLOG

httpとhttpsの違いって?SSL化(SSL/TLS化)とは?

こんにちは。イッシーです(`・ω・´)
ジョイントメディアが提供するホスティングサービス『J CLOUD』に関することから、IT業界の情報や知識などを幅広くお伝えしていきたいと思います。
よろしくお願いします。

第一回の今回は「http」と「https」の違い「SSL化」「SSL/TLS」について、ご紹介したいと思います。

httpとは

まず始めに「http」とは「Hyper Text Transfer Protocol (ハイパー テキスト トランスファー プロトコル)」のこと。

httpとは

簡単にまとめると、「”複数のテキストファイルを関連付け・連結する仕組みに沿ったテキストデータ(HyperText)” を “やりとりする(Transfer)” ための “規則・仕様(Protocol)”」と言った感じでしょうか。
この辺りのことは何となくでもご存知かと思いますので、詳しくは割愛させていただきます。

httpsとは

Webサイト上には、ショッピングサイトなどで物を購入する為に住所やクレジットカード決済の個人情報を入力したり、登録フォームに情報を入れてアカウントを作ったりと、様々な個人情報が飛び交います。
企業で所有している個人情報が漏洩した、というニュースを耳にしたことがあるかと思いますが、個人情報は特に気を使って取り扱わなければなりません。
個人情報を不正なアクセスやトラブルから守ることが、サイト運営者には求められています。

「https」は、「Hyper Text Transfer Protocol Secure (ハイパー テキスト トランスファー プロトコル セキュア)」のこと。
「Secure (セキュア)」とは、「機密がしっかり守られていて、安全である」という意味です。

URLがhttpsで始まるWebサイトに関しては、「セキュリティの機能を追加して、安全な状態にしています」と、Webサイト側が証明しているということになり、訪れたユーザーに安心感を与えることができます。

httpsとは

つまり、httpは鍵がついておらず防犯対策がされていないWebサイト、httpsは鍵をしっかりかけて防犯対策をしているWebサイトということです。

SSL化 (SSL/TLS)とは?

「SSL」とは、「Secure Sockets Layer (セキュア ソケッツ レイヤー)」のこと。
先程、httpsは「Secure (セキュア)」された状態と説明しましたが、https自体はプロトコルではありません。
厳密には、httpをSSLというプロトコルによって「SSL化」している状態のことを指します。

個人情報などの機密データをPC〜サーバ間で通信する際に、保護された状態で送受信する為に、コンピュータ同士が通信を暗号化して安全に利用できる(httpをSecureな状態で接続できる)ようにしたものが、「SSL化されたhttp」(=https)となります。

「TLS」とは、「Transport Layer Security (トランスポート レイヤー セキュリティ)」のこと。
バージョンアップを重ねたSSL3.0を元に作られたのが「TLS」で、SSLと仕組みは同じです。
SSL3.0は脆弱性が見つかった為に、現在ではRFC (インターネット関連技術の標準を定める団体IETFが発行する文書のこと)の定めにより使用が禁止され、TLSが利用されています。

但し、すでに「SSL」という名称が普及しているので、実際には「TLS化」している状態ですが、一般的には「SSL」「SSL/TLS」と表記されることが多いので注意が必要です。
スマホ(スマートフォン)が普及している現在でも、スマホのことをケータイ(携帯電話)と呼んでいるようなことだと思っていただければ、わかりやすいのではないでしょうか。

「https」「HTTP over SSL/TLS」の略称であるとも言われています。
どちらにしろ、httpをSSL/TLSというプロトコルで暗号化通信をして、個人情報などのデータを第三者に盗み見られても安心で改ざんされることもない、という状態に変わりありません。

関連して「常時SSL化」または「常時SSL/TLS化」という言葉もあります。
以前までは、ログインページや登録フォームなどの個人情報を扱う一部分のWebページのみがSSL化されていましたが、Webサイト内全体をSSL化して、最初から最後まで常に暗号化された安全な状態に広げるという方法のことです。
「常時HTTPS化」と言ったりもしますが、今後は「https」で始まる保護されたWebサイトが標準化されていくのではないでしょうか。

常時SSL/TLS化

SSL証明書は基本的に認証されたサーバにしか発行されないので、SSL化されたWebサイトはユーザーに向けて信頼性を証明していることになります。
Webサイトを運営する側がSSL化を行い、ユーザーの個人情報を安全に守ることは重要不可欠ですが、個人情報を入力するユーザー側も理解して知識をつけておくことが、自分の個人情報を守ることにつながりますので、ぜひ覚えておいてください。

また、httpsから始まるURLには目で見てすぐに分かるよう「鍵のアイコン」が付くようになります。

鍵アイコン

※ブラウザによって鍵アイコンの表示場所は異なります。

今後、閲覧するWebサイトのURLを見た時にSSL化されているか、暗号化により守られているWebサイトなのかを気にしてみることで、個人情報への意識も高まるのではないでしょうか。