Webブラウザの画面上部にはアドレスバーがあります。そこに「http」や「https」からはじまるURLを入力したり、表示されたりしているのを見たことがあるかもしれません。
今回は、「http」や「https」とは何か、その違い、認証方法や暗号化の仕組みについて解説します。
目次
https(SSLサーバー証明書)とは?
私たちがインターネットを介してWebページを閲覧するとき、サーバーとのやり取りがなされ、データが送受信されます。その際、第三者がその内容を盗聴したり、改ざんしたりするリスクが生じます。そこで、SSLを使用してブラウザとサーバー間のやり取りを暗号化する必要があります。SSLとは「Secure Sockets Layer」の略で、インターネット上の通信を暗号化する技術を指します。
SSLを利用することで「SSLサーバー証明書」という電子証明書が発行されます。SSLサーバー証明書には、以下のような2つの機能があります。
運営者の実在性確認
SSLサーバー証明書により、サイト運営者のドメイン名や組織の実在性が確認されます。これによりサイトの信頼性を高められますし、「なりすましサイト」にも対応可能です。
SSL通信データの暗号化
前述のとおり、証明書によってサーバーとのやり取りが暗号化されます。こうしておくことで、悪意のある第三者、犯罪者などがクレジットカードや銀行口座の番号、パスワード、住所、電話番号等の個人情報を閲覧したり、盗んだり、改ざんしたりできなくなります。
https(SSLサーバー証明書)暗号化通信の仕組み
SSLサーバー証明書を用いたhttps暗号化通信は、以下の2つの暗号方式によって行われます。
共通鍵暗号方式の仕組みとは
共通鍵暗号方式とは、暗号化と復号化に同じ鍵を使用する方式です。データの受信側・送信側が暗号鍵を共有するため、処理が速い点がメリットです。しかし、各通信ごとに毎回共通鍵を配布しなければならず、管理が煩雑になる点はデメリットと言えるかもしれません。
公開鍵暗号方式の仕組みとは
公開鍵暗号方式では、暗号化する際に誰でも取得できる公開された鍵を用います。受信側は暗号化されたデータを別の秘密鍵で復号化します。公開鍵は誰でも取得が可能で管理が容易であることと、秘密鍵を用いる高度なセキュリティが特徴ですが、処理速度が共通鍵暗号方式に比べて遅くなるのがデメリットです。
そのため、両者のメリットを組み合わせた「ハイブリッド方式」を採用しているサイトも増えています。
https(SSLサーバー証明書)の種類
SSLサーバー証明書には以下の3つの種類があります。暗号化強度は同じですが、信頼性や証明書発行までの時間が異なります。
DV:ドメイン認証
ドメイン認証(Domain Validated)とは、申請されたドメインの所有者を確認するための証明書です。ただ、ドメインが確認されたといっても、その組織が実在することが証明されるわけではありません。ドメイン認証は3つの証明書の中でも最も低価格、もしくは無料で簡単に申し込み・発行が可能です。
OV:企業実在認証
企業実在認証(Organization Validated)では、ドメインだけでなく、組織の法的実在性も確認することができます。そのために政府などが公開しているデータベースが用いられたり、申請者への電話認証が実施されたりします。ドメイン認証よりも高い信頼性を得ることができますが、その分申請費用がかさみますし、発行にも時間がかかります。
EV:EV認証
EV認証(Extended Validation)では、ドメインの確認、組織の法的実在性だけでなく、物理的実在性の確認も可能です。OVよりもさらに多くの時間と費用がかかりますが、3つの証明書の中で一番高い信頼性を得ることができます。
httpsとhttpの違い
「http(HyperText Transfer Protocol)」と「https(HyperText Transfer Protocol Secure)」は、インターネットでウェブサイトにアクセスするとき、どんなプロトコル(通信方式)を使うかを表す目印のようなものです。アドレスが「http」から始まっている場合、そのサイトへのアクセスやそのサイトとのデータ通信は、暗号化されずにそのまま実施されます。httpだと、その通信内容を外部の第三者が覗き見ることも難しくありません。
一方アドレスが「https」から始まっている場合は、そのサイトへのアクセスやそのサイトとのデータ通信がSSLによってすべて暗号化され、外部から見えないように保護されます。そのため、その通信の中身が誰かから知らないうちに盗み見られるという心配がないのです。つまりhttpとhttpsの違いとは「データの通信方式の差異」であり、暗号化の有無が異なるというわけです。
HTTPとHTTPSの比較表
httpとhttpsの違いを表にまとめてみましょう。
SSLサーバー証明書の取得によって、タスクバーでのURLやアイコン表示が変化します。サイバー攻撃が増加し、個人情報がこれまで以上に狙われやすくなっている今、httpを維持し続けることにメリットはないといえます。コストがかかるとしても、https化をできるだけ早めに進めると良いでしょう。
https(SSLサーバー証明書)の必要性とメリット
「https」を運営するサイトで使用するメリットは、なんと言ってもユーザーのセキュリティが格段に向上することです。たとえばECサイトなら、ユーザーはクレジットカード番号や住所、電話番号などといった個人情報をサイトに保存することになります。その際サイトでhttpを使っていると、そういったデータが誰かに盗まれたり、あるいは改ざんされたりする被害が発生してしまいかねません。httpはデータ通信内容がほとんど丸見えの状態なので、個人情報のやり取りを行うのはとても危険です。
もうひとつのメリットとして、httpsを導入しているとユーザーやお客様に安心してもらえる、という点も挙げられます。人気ブラウザ「Google Chrome」では、httpのサイトにアクセスしたときのアドレスバーに「保護されていない通信」という警告が表示されます。この表示は目立つため、普段セキュリティなどに特段の関心がない人でも、「このサイト危ないのかな……?」と感じてページを閉じてしまうケースが考えられます。ユーザーに安心してログインし、サイトを見てもらう上で、httpsの導入は必須です。
さらに最近、Googleの検索エンジンでも、httpsを導入しているかどうかが重視されるようになってきました。Googleの最新の方針では、https導入済みサイトのほうを優先して検索上位に表示する仕様になっているとのことです。検索順位がひとつ下がるだけでアクセスが一気に落ちることもあるので、これは無視できない風潮だと言えそうです。
また2022年3月にアップデートされたGoogle Chrome100でページを閲覧すると、セキュリティ対策がなされていないページには「保護されていない通信」という警告表示が出ます。これにより、不安を感じるユーザーが増えるとビジネスにも影響が出てしまいます。
https(SSL証明書)の取得までの5つの流れ
それでは「https」を自分のサイトへ導入するにはどうすればいいのでしょうか?
https導入に必要なのが、上述した「SSL証明書」です。SSL証明書とは、サイト運営者の情報と、データ通信の暗号化に使われる鍵、そして発行者の署名が含まれている電子証明書です。このSSL証明書を認証局(ひとつだけではなく、世界に多くの認証局があります)で発行してもらい、それをウェブサイトのサーバーにインストールすれば、httpsの導入が完了します。SSL証明書がないと、サイトのデータ通信をhttpsで暗号化することはできません。
Step1:SSLサーバ証明書の選択
ドメイン認証、企業実在認証、EV認証の3タイプから取得したいSSLサーバ証明書を選択します。どのタイプを選ぶかは利用用途やコスト、取得までの期間などを総合考慮して判断します。
例えば、オンラインショップやネット銀行・ネット証券など高い信頼性が求められるサイトはEV認証が、会社のコーポレートサイトやお問合せなど各種フォームは企業実在認証が適切ですし、メールサーバーやキャンペーンページなどはドメイン認証で十分でしょう。
Step2:SSLサーバ証明書の申込
企業実在認証やEV認証などには登記簿謄本などの書類が必要になります。また、CSR(Certificate Signing Request)、つまりサーバ証明書を発行するための署名要求の提出を行うことで、認証機関が署名をし、サーバ証明書が発行されます。
Step3:SSLサーバ証明書の審査・認証・証明書の発行
申込がなされたら認証局によって審査が行なわれます。審査項目は申請した証明書の種類によって異なります。EV認証の審査項目が最も多く、組織の法的存在、物理的存在、事業が存在していること、申請責任者やその者の権限、申込意思の確認などが書類や電話連絡などにより行なわれます。
Step4:SSLサーバ証明書をインストール
SSLサーバ証明書が発行されたら、SSLファイルをダウンロードし、それをサーバ上にインストールします。
Step5:内部リンクを確認・動作確認
WebサイトにSSLサーバ証明書が無事に導入された場合、アドレスバーに鍵マークが表示されます。それをクリックし、証明者情報ダイアログを開いて情報を確認しておきましょう。
使えるねっとのhttps(SSL証明書)なら簡単・低価格
SSL証明書の取得は、自分だけでやろうとすると大変で、手間も時間もかかってしまいます。そこでおすすめしたいのが、使えるねっとの人気サービス「使えるSSL証明書」です。使えるSSL証明書なら、ドメイン認証の料金5,500円(税込)/年で、スピーディーにSSL証明書発行が可能。また、使えるSSL証明書では認証局として信頼ある大手のSectigo社を採用しているので、ユーザーにハイクオリティなセキュリティと抜群の安心感を提供できます。
お申し込みやご相談などは、ぜひお気軽にこちらのフォームからお問い合わせください。お電話でお問い合わせの場合は、フリーダイヤル0120-961-166まで。平日10時〜17時まで受け付けております。
使えるSSL証明書の詳細はこちら >>
無料通話:0120-961-166
(営業時間:10:00-17:00)
