設定方法

httpとhttpsの違いをわかりやすく解説します。違いは通信の暗号化をするかしないか【超重要】

 

相談者
httphttps違いってなに?どうしてhttpsにしないとだめなの?

 

こんな疑問にお答えします。

 

最近では、あらゆるサイトが「https」になっています。

 

ひとことで言うと、、

  • httpは通信の暗号化をしない
  • httpsは暗号化する

 

はや
スマホが普及している今、通信を暗号化することは必須です。

 

httpsについて詳しく説明します。

 

httpsで通信を暗号化するってどういうこと?

 

ネットワークの世界で暗号化するとは、通信内容を第三者から盗み見られないようにする技術のことです。

 

ちなみに通信内容の暗号化を元にもどすことを「複合」といいます。

暗号化されていない通信は文字通り通信内容がそのまま流れます。

 

例えば、ショッピングサイトが暗号化(https)に対応していない場合、ユーザー登録情報の内容やクレジットカードの番号がそのままインターネットを通ることになります。

 

こわいね!
相方
はや
丸見えなんだよ。

 

ショッピングサイトが暗号化に対応していれば、クレジットカード情報などはすべて暗号化されるので安心して利用することができます。

 

SSLとは

SSLとは、Secure Sockets Layerの略称でデータを暗号化する仕組みをさします。

 

はや
今回は暗号化するにはSSLを使うのか!までわかれば十分です。

 

ちなみにTLSという言葉もありますが、SSLをより強力にしたもので、「暗号化する」という意味では同じです。

 

httpsとは

通常のWEBサイトや、暗号化の必要のないWEBサイトなどはhttp(HyperText Transfer Protocol)が使われます。

 

はや
単純に閲覧するだけのWEBサイトであればhttpでも問題はありません。

 

しかし、下記のサイトの場合、http通信は非常に危険です。

  • 商品を販売するWEBサイト
  • 個人情報を登録必要のあるWEBサイト

 

そこでhttpsが使われます。

 

httpsの「s」はSecureという意味があり、暗号化通信を行うことを宣言しています。

 

httpsであれば絶対安全?!

では、httpsとなっていれば、何でも安全なのでしょうか。

結論からいうと安全ですが、下記のようにエラーがでる場合は危険です。

※図はFirefoxの場合

 

悪意のあるサーバー運営者がAというショッピングサイトをそっくりそのまま作成し、運営していたとします。

このとき、Aというショッピングサイトがhttpsかつサーバー証明書を有効にしていれば、悪意のあるサーバー運営者によって作成されたサイトへアクセスした場合、上図のように「安全な接続ではない」、といった旨のエラーメッセージが表示され危険であることを知らせてくれます。

 

サーバー証明書とは

httpsを使って通信を暗号化する際、ブログを運用するサーバーやショッピングサイトでは「サーバー証明書」というものをサーバーに適用することが必須です。

 

正しく設定されていると下図のようにカギアイコンが緑色で安全であるといった旨のメッセージも確認できます。

 

さて、「https」「SSL」に続き、3つ目のことば「サーバー証明書」がでてきました。

 

この証明書は一言で言うと「わたしが○○ショッピングのサーバーです!」ということを証明しています。

 

人間の世界でいう身分証明書のようなものです。

サーバー証明書だけでは運用できず、ルート証明書(証明書発行機関)が必ず必要です。

 

ですが、これはパソコンやスマートフォン、タブレットにあらかじめインストールされているので使う側はほとんど気にしなくてOKです。

 

さらに新しい言葉(ルート証明書)がでてきました。

 

サーバー証明書はどのように証明される?

では、ルート証明書はなにをしているかというと、

「このサーバー証明書は確かにうちで発行した証明書である!エッヘン。」と、

サーバー証明書を証明します。

 

はや
う~ん。ややこしいですね(笑)

 

住所を住民票で証明するときの場合で再度説明します。

 

  • 登場人物

ある住所の住人 = httpsが有効なWEBサイト

住民票     = サーバー証明書

市町村役場   = ルート証明書

 

ある住所の住人が「確かにわたしはここに住んでいます」と証明する手段として「住民票」を提示する方法があります。

 

これは賃貸契約でよくある確認方法ですね。

 

とうぜん家を貸し出す側として、怪しい人物には家を貸したくないわけです。

そしてこの住民票が本当に正しいかは市町村役場でしかわかりません。

 

ここで住民票(サーバー証明書)が偽造されたものと判明する(※)と詐欺で問われます。

(※)実際に借りる人(正しいWEBサイト)ではなく、悪意をもった人(不正なWEBサイト)が契約しようとしている状態です。

 

この詐欺の部分がWEBブラウザ上では「安全ではない接続」として表示してくれます。

あなたの提示した住所と住民票の内容が違うようですが・・・と疑われていますね。

 

元の用語に戻してまとめると、、、

  • ユーザーがパソコンやスマホでhttpsを有効にしているショッピングサイトへアクセスする
  • ショッピングサイトはサーバー証明書をパソコンへ送信する
  • パソコンはルート証明書を利用してサーバー証明書を確認する
  • サーバー証明書が正しければ暗号化通信が完了
  • ※サーバー証明書が不正であればエラーメッセージを表示

※なお、WEBサーバーにサーバー証明書が適用されていない場合も不正となります。

 

証明書エラーが表示された場合の対処方法

ショッピングサイトなどでサーバー証明書のエラーが発生した場合はいくつか理由が考えられます。

  • 偽造されたサーバーである
  • サーバー証明書の有効期限が切れている
  • 個人や企業が独自で発行したサーバー証明書であるため、ルート証明書がデバイスにない

 

上記のいずれかに該当する場合、サーバー証明書のエラーメッセージが表示されます。

すべて運営者側の問題なので、このようなサーバーへのアクセスは絶対しないようにしましょう。

 

1番上の場合は問題外ですが、2番目と3番目は運営者の怠慢によるものです。

 

いかなる理由があっても信用につながるため、サーバー証明書エラーは決して起こしてはなりません。

 

httpとhttpsの違いは通信の暗号化をするかしないか(まとめ)

昨今、悪意を持った人間がさまざまな手段で情報を抜き取ろうと必死です。

 

わたしたちにできることは、ショッピングサイトや公的機関のWEBサイトへアクセスした際はそのサイトがきちんとサーバー証明書を適用しているかを確認することです。

 

「なんかエラーでたけど、アクセスできたからいっか!」

 

これは非常に危険です。

 

情報を抜き取られたり、最悪は犯罪に巻き込まれてしまうこともあります。

ブログ運営をしているわたしたちも証明書には気をつけないといけません。

 

なお、証明書は有料なところが多いですが、エックスサーバーでブログを運営していればサーバー証明書は無料で発行することができます。

 

無料で通信を暗号化できることはブログ運営者にとって大きなメリットです。

 

最後までお読みいただきありがとうございました。

-設定方法
-

© 2020 HAYAMIZ BLOG Powered by AFFINGER5