4
HTTPとHTTPSはどちらもブラウザのアドレスバーに表示されますが、その違いを理解している人はほとんどいません。ここではその違いを説明します。
HTTP と HTTPS:その違い
インターネットはデータの交換に基づいており、HTTP と HTTPS はまさにそのためのプロトコルです。両者は、ブラウザがウェブサイトと通信する方法を規定しています。しかし、HTTP は暗号化されていないウェブの原始的なプロトコルであるのに対し、HTTPS は現代的で安全な接続を意味します。
- ハイパーテキスト転送プロトコル(HTTP)は、サーバーからウェブブラウザにウェブサイトをロードするために使用されます。問題点は、接続が暗号化されていないことです。検索語句、パスワード、フォーム入力など、すべてのデータが平文で送信されます。
- HTTP の具体的なリスクには、公共の Wi-Fi でのデータ盗聴(スニッフィング)、攻撃者があなたとウェブサイトの間に入り込んでデータを操作またはコピーする中間者攻撃、およびセッションハイジャックがあります。暗号化されていないセッションでは、攻撃者はセッションクッキーを盗み、あなたになりすますことができます。
- HTTPS (HyperText Transfer Protocol Secure) は、HTTP の安全なバージョンです。SSL/TLS 暗号化を使用して、データ転送を保護します。「S」は「Secure(安全)」を表しています。
- HTTPS は、現在ではほぼすべてのプロフェッショナルなウェブサイトに標準的に採用されています。HTTPS 方式はすべてのブラウザでサポートされているため、別途インストールする必要のないセキュリティ技術です。
- HTTPSページは、ブラウザのアドレスバーの上部に上記の文字が表示され、鍵のマーク(画像参照)が付いていることで識別できます。
HTTPSの仕組み
ウェブサイトの標準規格の仕組み:
- 暗号化(SSL/TLS):HTTPS 接続を確立すると、まず TLS ハンドシェイクが行われます。この際、ブラウザとサーバーは、データを暗号化する安全な方法について合意します。その後、コンテンツは、誰も読み取ったり変更したりできないように送信されます。
- 認証: サーバーは、信頼できる認証機関(Let’s Encrypt、DigiCert など)から SSL/TLS 証明書を取得します。ブラウザは、この証明書が本物であるかどうかを検証し、ユーザーが本当に目的のウェブサイトに接続しており、詐欺的なサーバーに接続していないことを確認します。
- 完全性: HTTPSは、コンテンツが送信中に改変されるのを防ぎます。ハッシュ関数と呼ばれる検証機能により、ブラウザはデータが改変されたかどうかを検出できます。これにより、送信された情報は変更されずに到着します。
