IT/Technique

httpsはなぜ必要?httpとの違いと、暗号化の重要性を解説します

更新日:

最近になって「常時SSL化」といった言葉やhttpsに対応しているブログを見かけます。

ひとことでいうと、通信内容の暗号化を指していますが、そもそもなんなのかわからない方が多いかと思います。

今回はそんな「常時SSL化」や「https」についてコレでもかというくらい書いてみます。

 

暗号化するとは?

ネットワークの世界で暗号化するとは、通信内容を第三者から盗み見られないようにする技術のことです。

ちなみに通信内容の暗号化を元にもどすことを「複合」といいます。

暗号化されていない通信は文字通り通信内容がそのまま流れます。

例えば、ショッピングサイトが暗号化に対応していない場合、ユーザー登録情報の内容やクレジットカードの番号がそのままインターネットを通ることになります。こわいです!

ショッピングサイトが暗号化に対応している場合、上記の内容はすべて暗号化されるので安心して利用することができます。

 

SSLって?

SSLとは、Secure Sockets Layerの略称でデータを暗号化する仕組みをさします。今回は暗号化するにはSSLを使うのか!までわかれば十分です。

ちなみにTLSという言葉もありますが、SSLをより強力にしたもので、「暗号化する」という意味では同じです。

 

httpsとは

通常のWEBサイトや、暗号化の必要のないWEBサイトなどはhttp(HyperText Transfer Protocol)が使われます。単純に閲覧するだけのWEBサイトであればhttpでも問題はありません。

ですが、商品を販売するWEBサイトや、個人情報を登録必要のあるWEBサイトは、httpでは大変危険です。

そこでhttpsが使われます。

ここでいう「s」はSecureという意味があり、暗号化通信を行う場合httpsが利用されます。

 

httpsであれば安全?!

結論からいうと安全ですが、下記のようにエラーがでる場合は危険です。

※図はFirefoxの場合

 

悪意のあるサーバー運営者がAというショッピングサイトをそっくりそのまま作成し、運営していたとします。

このとき、Aというショッピングサイトがhttpsかつサーバー証明書を有効にしていれば、悪意のあるサーバー運営者によって作成されたサイトへアクセスした場合、上図のように「安全な接続ではない」、といった旨のエラーメッセージが表示され危険であることを知らせてくれます。

 

サーバー証明書?!

httpsを使って通信を暗号化する際、ブログを運用するサーバーやショッピングサイトでは「サーバー証明書」というものをサーバーに適用することが必須です。

正しく設定されていると下図のようにカギアイコンが緑色で安全であるといった旨のメッセージも確認できます。

 

さて、「https」「SSL」に続き、3つ目のことば「サーバー証明書」が登場してきました。

この証明書は一言で言うと「わたしが○○ショッピングのサーバーです!」ということを証明しています。

人間の世界でいう身分証明書のようなものです。

サーバー証明書だけでは運用できず、ルート証明書(証明書発行機関)が必ず必要です。

ですが、これはパソコンやスマートフォン、タブレットにあらかじめインストールされているので使う側はほとんど気にしなくてOKです。

さらに新しい言葉(ルート証明書)がでてきました。

 

サーバー証明書はどのように証明される?

では、ルート証明書はなにをしているかというと、

「このサーバー証明書は確かにうちで発行した証明書である!エッヘン。」と、

サーバー証明書を証明します。

ややこしいですね(笑)

住所を住民票で証明するときの場合で再度説明します。

登場人物

ある住所の住人 = httpsが有効なWEBサイト

住民票     = サーバー証明書

市町村役場   = ルート証明書

 

ある住所の住人が「確かにわたしはここに住んでいます」と証明する手段として「住民票」を提示する方法があります。これは賃貸契約でよくある確認方法ですね。

とうぜん家を貸し出す側として、怪しい人物には家を貸したくないわけです。

そしてこの住民票が本当に正しいかは市町村役場でしかわかりません。

ここで住民票(サーバー証明書)が偽造されたものと判明する(*)と詐欺で問われますよね。

(*)実際に借りる人(正しいWEBサイト)ではなく、悪意をもった人(不正なWEBサイト)が契約しようとしている状態です。

この詐欺の部分がWEBブラウザ上では「安全ではない接続」として表示してくれます。

あなたの提示した住所と住民票の内容が違うようですが・・・と疑われていますね(笑)

元の用語に戻して整理すると

1.ユーザーがパソコンなどでhttpsを有効にしているショッピングサイトへアクセスする

2.ショッピングサイトはサーバー証明書をパソコンへ送信する

3.パソコンはルート証明書を利用してサーバー証明書を確認する

4.サーバー証明書が正しければ暗号化通信が完了

サーバー証明書が不正であればエラーメッセージを表示

 

※なお、WEBサーバーにサーバー証明書が適用されていない場合も不正となります。

 

エラーが表示された場合の対処方法

ショッピングサイトなどでサーバー証明書のエラーが発生した場合はいくつか理由が考えられます。

・偽造されたサーバーである

・サーバー証明書の有効期限が切れている

・個人や企業が独自で発行したサーバー証明書であるため、ルート証明書がデバイスにない

上記のいずれかに該当する場合、サーバー証明書のエラーメッセージが表示されます。

すべて運営者側の問題なので、わたしはこのようなサーバーへのアクセスはしないことをおすすめします。

理由はとても簡単です。

1番上の場合は問題外ですが、2番目と3番目は運営者の怠慢によるものです。

いかなる理由があっても信用につながるため、サーバー証明書エラーは決して起こしてはなりません。

 

おわりに

昨今、悪意を持った人間がさまざまな手段で情報を抜き取ろうと必死です。

わたしたちにできることは、ショッピングサイトや公的機関のWEBサイトへアクセスした際はそのサイトがきちんとサーバー証明書を適用しているかを確認することです。

「なんかエラーでたけど、アクセスできたからいっか!」は非常に危険で、情報を抜き取られたり、最悪は犯罪に巻き込まれてしまうこともあります。

わたしはエックスサーバーで運用しているのでサーバー証明書は無料で発行することができました。

無料で通信を暗号化できることは大きなメリットでもあります。

エックスサーバーではないが、証明書を発行して信用度を高めたいといった方がいましたら、格安SSL証明書サービス、SSLボックスもおすすめです。

 

参考になれば幸いです。

関連記事一覧

厳選!どんなサイト運営も思いのまま

エックスサーバー

アフィリエイトで稼ぎたい!お考えであればエックスサーバーが超おすすめ!200GBの大容量で複数サイト運営が可能です。サポートも充実しており初心者でも安心です。エックスサーバーの新機能「Xアクセラレータ」はサイト離脱率の軽減・PV数のアップに大きく貢献します。ただいま、サービス開始15周年キャンペーン実施中。

ミックスホスト

エックスサーバーに続きこちらもおすすめのレンタルサーバーです。ミックスホスト最大の特徴は「ジャンル」を問わない運営が可能!あなたが思い描いているサイトを自由自在に構築することが可能です。初期費用も無料で初期投資の負担も小さくサイト立ち上げができます。

-IT/Technique

Copyright© HAYAMIZ Blog , 2018 All Rights Reserved.