HTTPとは? HTTPSとは?
「http」(Hypertext Transfer Protocol)の略
ハイパーテキスト・トランスファー・プロトコル
「Webブラウザ」と「Webサーバ」との通信する際に使用されている通信プロトコル
プロトコルは、通信を行うための規格(ルール)
「https」(Hypertext Transfer Protocol Secure)の略
ハイパーテキスト・トランスファー・プロトコル・セキュア
HTTPによる通信をより安全に(セキュア)に行うための通信手段
「https」は、暗号化通信(SSL)を用いて通信を行います。
SSL:Secure Socket Layer(セキュア・ソケット・レイヤー)の略
インターネット上での送受信で、情報を暗号化するプロトコルです。
情報をやり取りする場合に、情報データを暗号化し、第三者からのデータ採取等から、その情報を守るための通信技術になります。
Webページを表示させるには、「ブラウザとWEBサーバー」で通信が行われ、データのやり取りが行われいて、初めてWEBサイトが表示されることになる!
従来から使われてきた「http」は、ブラウザとWEBサーバー間での情報をやり取りをするのですが、データ通信の際には暗号化されていません。
1984年からのインターネットの加速が進み、2003年には光回線が登城して人口普及率も64.3%になり、2008年には「iPhone」が日本で発売を開始され、2010年には人口普及率も78.2%になり、2016年には人口普及率も83.5%になったようです。
それに伴い、サイバー犯罪も増加して、本物そっくりのWebサイト(なりすまし)や「サイト改ざん 」による情報窃取など、個人情報を盗み出す詐欺手法が進んでいる現状でもあります。
そういった背景の中で、「HTTP」から「HTTPS」に、仕様を切り替えることを進められていますね!
「HTTP」に対して「HTTPS」は、SSL/TLS通信で暗号化された状態で通信を行われていて、ブラウザとWEBサーバー間で、ペアとなる秘密鍵で暗号される方式になるので、
通信途中の「盗聴・傍受」を防ぎ、安全に通信が行える仕様ということです!
「http」と「https」の違いは?
URLの「http」に「s」が付いている。セキュリティ的に安全な暗号化されて通信
「https ://」の「s」は、Secure(セキュア)の「s」で、データに鍵を掛けた状態で、安全に通信を行っていることになる。
第三者からデータを盗み取られる危険や、改ざんされてしまうこともなくなる
近年は、「SSL/TLS」暗号化通信で運営される方が高まっている!
HTTPS(暗号化通信)を行うことで、危険な状態からWebサイトを守る!
フォーム等に入力した情報を盗みとられること(個人情報の漏えい)
意図しない状態に変更、悪意あるサイトに誘導(リダイレクト)されることも
そっくりな偽サイトを作り、ユーザーに入力させて重要な情報を盗む
常時SSLとは
常時SSL(Always On SSL)は、全てのページを暗号化(SSL/TLS)することを指します。
「ログイン情報や決済情報」の特定のページだけでなく、全てのページを「SSL化」にすることで、不正アクセス(盗聴・改ざん・なりすまし)から、Webサイトを守ることになる!
従来は、ログインページや申し込みページなど、特定のページをSSL化してました。
常時SSL化は、個人情報を入力するページだけでなく、すべてのページで暗号化通信(SSL接続)により、安全に閲覧してもらう方法になりますね!
2014年当たりから、Webサイトで、セキュリティが重要となる通信で使用されるように推進されてきて、2016年2017年には、「常時SSL化」が進み一斉に切り替えに時期でもありましたね!
SSL化、ブラウザの仕様状況
2017年1月にリリースした「Google Chrome v56.0」からは、安全性表示の内容が変更され、SSL化されてない「パスワード・クレジット情報」などを入力するページでは「保護されていません」と、安全でないことをラベルで強調されるようになりました!
また、2018年7月リリースの「Google Chrome v68.0」からは、すべてのページが対象になり、SSLで暗号化されていないWebサイトには「保護されていません」と強調されています!
2021年1月現在(Google Chrome v88.0)
もちろん、「Google Chrome」以外のブラウザ(Firefox、Microsoft Edge)なども、同じような仕様になって「安全でない接続・セキュリティ保護なし」と強調される仕様ですね!
常時SSL化の〈メリット〉
すべてのページを、暗号化することでセキュリティの強化!
不正アクセス等(盗聴・改ざん・なりすまし)等から、Webサイトを守る
HTTPS(暗号化通信)を行うことで、危険な状態からWebサイトを守る!
- データを暗号化することで、Cookieを含めたすべての情報を守る
- ログイン情報や決済情報の、通信内容を盗み取られる危険を避ける
- データを意図しない状態に改ざんされてしまうことからも守る
「https ://」の「s」は、Secure(セキュア)の「s」で、データに鍵を掛けた状態で、安全に通信を行っていることになる!
「鍵のマーク」の、表示があることでSSL通信と確認でき、クリックすると「この接続は保護されています」と確認できます。閲覧者の方に安心して安全に閲覧してもらえる!
2014年の8月に、Google 公式blog からのアナウンスから「HTTPS をランキング シグナルに使用する」と発表された!
要するに、「常時SSL化」にすることで、検索結果(ランキング)の、アルゴリズムで評価(優遇)すると言う事になる。
※ 但し、現状は、SEO的には小さなもので、特に重要度が高い訳では無い
アクセス解析で、どのサイトから自分のサイトに訪れたか?
知ることは、非常に重要な部分だと言われていますが
HTTPの場合だと、「https」サイトから訪問されると、
ノーリファラー(no referrer)としてカウントされ、参照元が分からない
HTTPSだと、「http・https」から訪問しても、リファラーを受け取れる
| 訪問元 | 訪問先(自社サイト) | リファラ情報の送信有無 |
|---|---|---|
| HTTPS ⇒ | HTTPS | 〇 |
| HTTPS ⇒ | HTTP | × |
| HTTP ⇒ | HTTPS | 〇 |
| HTTP ⇒ | HTTP | 〇 |
Webサイトを「HTTPS化」にする事で、「HTTP/2」若しくは「HTTP/3」が対応化される。
従来の「HTTP/1.1」より通信効率が良く、サイトの表示を高速化が測れるメリットがありますね!
※ 但し、サーバー側で、「HTTP/2」の対応が必見ですので注意してください。
詳しくは、HTTP/2とは、通信効率が改善されて表示速度が大幅に向上
常時SSL化の〈デメリット〉
無料のSSL証明書が利用できたり、低額で利用できるものなど、従来に比べても、選択肢も増えて、導入コストを抑えられる傾向ではあるが、
とは言え、種類によっては、年間数千円から何万円と費用が掛かり、また、複数のドメインをお持ちの場合は、その分も経費がかさむ
HTTPのWebサイトを、「HTTP~HTTPS」に切り替えるには、それなりの手間が掛かります。
尚且つ、何千ページと抱えているコンテンツであれば、すべてのページの調査が必要になる!
各ページ内を修正する必要があり、「画像URL、リンクURL」などの、「http://」を修正して「https://」に変更する必要があります。
混合コンテンツについて
混合コンテンツとは、Webサイトの常時SSL化にして、HTTPS接続で表示させるよう作成されているのだが、一部のページで、「暗号化されていないHTTP接続の画像、動画、スクリプト」などを読み込もうとしているサイト!ミックスコンテンツ(Mixed Content)とも呼ばれたりもする。
「HTTP と HTTPS」 の混合コンテンツの問題!
非対応のコードが残っているコンテンツは、ユーザーから不信感を与えます。また、ブラウザでは、ページをブロックされる仕様になり表示されません!
ブラウザでは、非SSLのページは「このサイトへの接続は完全には保護されていません」と、表示される仕組みになっていて、「i のマーク」が表示されることになる
Google Chrome では、混合コンテンツの表示については 2020年9月から、混合コンテンツのダウンロードについては 2021年1月から、一連の警告を出してブロックするようになります。
ページに「HTTP」が含まれていないか?修正点を見つけ出して修正することが非常に重要になる。
