CORPORATE SEARCH検索

httpとhttpsの違いとは|SSLサーバー証明書の確認方法や信頼できるサイトの見極め方

[ 更新: ]

http(Hypertext Transfer Protocol)とは、Webサイトを表示する際に利用されるプロトコル(通信規則)のことです。httpがあることでパソコンやスマートフォンからWebサイトを閲覧することが可能になり、私たちの生活は便利なものとなっています。しかし近年、httpsと呼ばれる新規格が登場・普及し始めました。

本記事では、httpとhttpsの違いと仕組み、SSLサーバ証明書や信頼性の高いサイトの見分け方について詳しく説明します。

目次

[ 開く ] [ 閉じる ]
  1. httpとhttpsの違い
  2. httpsのサイトの安全性
  3. 通信相手はSSLサーバー証明書で確認できる
  4. SSLサーバー証明書を確認する方法
  5. SSLサーバーを確認するための手順
  6. 信頼性の高いサイトを見極めるポイント
  7. URLに間違いはないか
  8. フリーアドレスが掲載されていないか
  9. 当該サイトの被害報告の口コミはないか
  10. まとめ

httpとhttpsの違い

httpとは「Hypertext Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)」の略で、WebサーバーとWebブラウザの間でWeb情報をやりとりするためのプロトコル(通信規則)です。プロトコルとは、コンピュータとコンピュータがネットワークを通じて通信する際に決められた約束事・決まりのことを言います。

一方のhttpsは「Hypertext Transfer Protocol Secure(ハイパーテキスト・トランスファー・プロトコル・セキュア)」の略で、通信が暗号化されている方式です。WebブラウザとWebサーバー間でネットバンキングやクレジットカード決済サービス、個人情報登録や編集を行うようなケースでhttpsが利用されます。

httpとhttpsの違いは通信が暗号化されていないか、暗号化されているかの違いです。以下の図を見てください。

httpとhttpsの違い

httpsを使って暗号化されたhttpのリクエストやレスポンスの内容は、インターネットのどこかで悪意のある第三者が見ようとしてもその内容を知ることはできません。また、通信中に誰かが通信内容を書き換える「改ざん」が行われたことを検知することもでき、接続先のWebサーバが本物かを検証する機能もあります。つまり、httpよりもhttpsのほうが安全性は高いのです。

【関連記事】暗号化とは?主な方式の種類や暗号化・復号化の仕組み、やり方について解説

httpsのサイトの安全性

先述したとおり、httpのサイトよりもhttpsのサイトのほうが安全だと言われています。

httpは通信内容が暗号化されていないため、データの改ざんや盗聴、サイバー攻撃へと発展する恐れがあります。手紙を例にすると、文面が丸裸となっており第三者から簡単に見られてしまうような状態と同じです。この手紙を守る封筒の役割を果たすのが、httpsの暗号化技術となります。

この通信の暗号化に対応するために必要となるのがSSLサーバ証明書です。

通信相手はSSLサーバー証明書で確認できる

SSLサーバー証明書は、暗号化するために使用する公開鍵とコモンネーム、ドメインの所有者情報を認証局が関連付けて発行した証明書のことです。公的機関の発行する印鑑証明書のようなもので、SSL暗号通信時に利用します。

SSLサーバー証明書は、その通信を行っている人物が公的に安全であることを証明する電子証明書です。発行された証明書はWebやメールで使用するサーバーにインストールすることで、通信時にwebブラウザに鍵マークが表示されるようになります。

【関連記事】「保護されていない通信」と表示される原因は?消すための解除方法も解説

SSLサーバー証明書を確認する方法

SSLサーバー証明書には以下の3種類があります。

  • ドメイン認証
  • 企業認証
  • EV認証

いずれも簡単に証明書を確認できますが、本記事ではドメイン認証をChromeで確認する方法を解説します。

SSLサーバーを確認するための手順

  1. ブラウザ左上に表示されている鍵マークをクリックする ブラウザのURLが記載されているバーの左端にある鍵マークをクリックしてください。
  2. 「この接続は保護されています」から「証明書は有効です」ウィンドウを開き、詳細タブを選択 「この接続は保護されています」をクリックして「証明書は有効です」を選択します。ウィンドウが開いたら「詳細」タブを開きます。
  3. 「件名」を選択して、フィールド値にある「CN=」と書かれた文字列を確認する 「証明書のフィールド」内にある「件名」をクリックすると、下段にあるフィールド値にドメイン名が表示されるため、それを確認します。

SSLサーバー証明書の確認方法は、ブラウザのバージョンや種類によって異なります。基本的には同じ流れで確認できますが、各ブラウザの確認方法を調べておくとよいでしょう。

信頼性の高いサイトを見極めるポイント

SSLサーバー証明書はサイトの安全性を証明するものですが、この確認だけでは詐欺サイトなどを見抜けない可能性があります。信頼性の高いサイトを見極めるには、SSLサーバー証明書を確認する以外にも、以下の3点を確認するようにしましょう。

  • URLに間違いはないか
  • フリーアドレスが掲載されていないか
  • 当該サイトの被害報告の口コミはないか

URLに間違いはないか

基本のアクションとして、URLに間違いがないかを慎重に確認しましょう。サイトの外見はよく知られているものと同じに見えても、URLが微妙に異なるケースがあります。例えばAmazonを見ているつもりでもURLが「anazon.co.jp」となっているなどです。

近年は大手サイトでもよく似た詐欺サイトが登場しています。見た目だけで判断せず、URLを細かく確認しましょう。

フリーアドレスが掲載されていないか

フリーアドレスとは「@gmail.com」「@yahoo.co.jp」など、無料で作成できるメールアドレスのことです。サイト内の問い合わせやサポートのメールアドレスがフリーアドレスになっている場合は、詐欺の可能性が高いでしょう。整備されたWebサイトには会社名をドメインに据えているアドレスが使われているため、きちんと確認するようにしてください。

当該サイトの被害報告の口コミはないか

当該サイトを検索してみて、過去に詐欺などの被害報告がないかを確認しましょう。口コミもきちんと確認した際に、詐欺被害があるようであれば信頼できないサイトと判断できます。

まとめ

httpsのWebサイトはhttpよりも安全性が高いのは事実です。httpsサイトではSSLサーバ証明書の確認に加えて、URL、メールアドレスに至るまで細かく確認するようにしましょう。詐欺被害やサイバー攻撃を受けないためにも、これらの対策をきちんと行うようにしてください。

文責:GMOインターネットグループ株式会社

SSL GMOグローバルサインのサイトシール