こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
WebサイトのURLで、「http://」「https://」といった文字列を見たことがある方は多いでしょう。
この文字列は、Webサイトの表示についての通信プロトコルを表すもの。httpかhttpsでその安全性は異なり、近年では、より安全性の高いhttpsが主流となっています。
Webサイトの信頼性を確保するためには、Webサイトのhttps化は必須です。
そこで今回は、httpとhttpsの違いと、https化の方法について詳しく解説します。
HTTPとは
ブラウザ・サーバ間でデータのやり取りを行う際のプロトコル(通信規約)のこと。このプロトコルでは、通信の暗号化は行わない。
Hypertext Transfer Protocolの略。
パソコンやスマホなどのデバイスでWebサイトを表示する時には、Webブラウザが要求を行い、それにWebサーバが応えるという形で、データのやり取りが行われます。このやり取りの共通のルールとなるものが、HTTPや HTTPSというプロトコルです。
HTTPや HTTPSは、世界標準のプロトコルとして設定されています。これにより、私たちはデバイスの種類やアクセスしている場所に影響されずに、要求に応じて見たいWebサイトを閲覧することができるのです。
HTTPSとは
HTTPと同じく、ブラウザ・サーバ間でデータのやり取りを行う際のプロトコル(通信規制)。通信は暗号化される。
Hypertext Transfer Protocol Secureの略。
HTTPSも、Webサイトを表示する際のデータのやり取りに使われるプロトコル。データのやり取りにあたって通信の暗号化を行う点が、その大きな特徴です。
近年ではHTTPSが主流になり移行が進んでいますが、古いホームページなどでは、未だHTTPを利用しているものも見られます。
HTTPとHTTPSの違い
HTTPとHTTPSとの違いは、通信の安全性にあります。「S = Secure」という言葉が付いていることからもわかるように、安全性が高いのはHTTPSの方になります。
HTTPよりもHTTPSが安全な理由
HTTPSでは、ブラウザとサーバ間におけるデータのやり取りの際に、通信を暗号化します。これにより、悪意のある第三者による通信情報の盗聴を防ぐことができます。
一方のHTTPでは、データのやり取りにあたって暗号化は行われません。よって、HTTPを利用しているWebサイトとの通信内容は、第三者に盗まれてしまうリスクがあります。
この安全性の違いから、サイバー攻撃が多発している昨今ではHTTPSの利用が主流となり、HTTPの利用には注意が必要とされています。
HTTPSでも100%安全ではない
HTTPSはHTTPよりも安全ですが、それも万能とは言えません。なぜなら、そもそもの通信相手に悪意があれば、いくら通信を暗号化しても情報を守ることができないからです。
ユーザーに正しい通信相手であることを証明するためには、「SSLサーバ証明書」を利用する方法が有効です。
SSLサーバ証明書は、専門の認証局が発行する電子証明書です。これをサーバにインストールしておくことで、通信相手としての実在性や正当性を証明しつつ、通信の暗号化も実行することができます。
SSLサーバ証明書の確認方法
SSLサーバ証明書は、次の3種類に分類されます。
- 【ドメイン認証】
- ドメイン名の使用権を認証するもの。3種のうち信頼性はもっとも低いが、認証を取得しやすい。
- 【企業認証】
- ドメイン名に加え、企業の法的実在を認証するもの。
証明書の情報に企業名を載せられるため、信頼性の向上が期待できる。 - 【EV認証】
- ドメイン名・企業の法的実在に加え、物理的実在や運営、署名者による確認を認証するもの。
証明書の情報には企業名や法人番号が記載され、3種のうちもっとも信頼性が高い。
これらの証明書の有無、また詳細については、「ブラウザのアドレスバーの左端に鍵マークがあるかどうか」で判断することができます。鍵マークがあるWebサイトは、SSLサーバ証明書を取得しています。
また、この鍵マークをクリックすれば、証明書の種類やナンバー、通信相手の名称、所在地など、証明書の詳細を確認することもできます。
安全な通信のためには、証明書の有無だけでなく、その種類ごとの信頼性や詳細についても確認しておくことが大切です。
常時SSL化(HTTPS化)するメリット
Webサイトを常時SSL化・HTTPS化することで、企業や組織は次のようなメリットを得ることができます。
安全性の向上
ここまでご紹介してきた通り、HTTPSおよびSSLサーバ証明書は、Webサイトの安全性向上に有効です。そのため、一部のページだけではなく、Webサイト全体を常時SSL化・HTTPS化する企業も多くなっています。
これにより、企業はWebサイトの信頼性を維持し、ユーザーから安心してWebサイトを使ってもらえるようになります。
SEO評価の向上
常時SSL化・HTTPS化したWebサイトのSEO評価は上がります。Googleでは、これを SEO評価のひとつの要素としています。
SEO評価が上がれば、そのWebサイトは検索時に上位表示されるようになり、より多くの集客を見込めます。
警告表示が出ない
HTTPを利用しているWebサイトを訪れる際には、ユーザーに対してGoogleや Microsoftからの警告文が表示されます。警告文が出されるWebサイトに対して、その信頼性に不安を覚える方は多いでしょう。
Webサイトを常時HTTPS化すればこのような警告はなくなり、企業はユーザーからの信頼性を維持できます。
Webサイトを常時SSL化する手順
最後に、Webサイトを常時SSL化・HTTPS化するための6つの手順についてご説明します。
1.サーバの確認
最初に行わなくてはならないのが、現在使っているサーバの確認です。
サーバによっては、HTTPS化また常時SSL化に対応していないこともあり得るため、対応の可否を確認してください。
2.CSR作成
CSR(証明書署名要求)とは、SSLサーバ証明書を取得するための申込書のようなものです。これを作成しなければ、証明書は取得できません。
作成方法はサーバによって異なるため、各サーバに合った方法を取ってください。
3.SSLサーバ証明書の取得、インストール
次に、SSL認証局へSSLサーバ証明書の申請を行います。申請後、必要書類を提出し、認証局側から確認を受け、料金の支払いを行えば、証明書を取得することができます。
この作業では、「共有SSL」か「独自SSL」かを選ぶことになりますが、HTTPS化の場合には「独自SSL」を取得するようにしてください。
また、認証の種類もこの段階で選択することになります。信頼性の高い認証ほど必要書類や手続きは複雑になるのでご注意ください。
SSLサーバ証明書を取得したら、それをサーバにインストールします。
4.URLをHTTPへ置き換え
HTTPからHTTPSへの置き換え作業も忘れてはなりません。
コードエディタの一斉置換機能を利用し、HTTPをHTTPSに置き換えます。この作業は、「絶対パス」部分にのみ必要で、「相対パス」部分には不要です。
5.リダイレクト設定
既存のHTTPのURLへのリンクを、新規のHTTPSのURLへ転送する「301リダイレクト」の設定を行います。既存ユーザーがリンクの切れたWebサイトにアクセスしてしまうことのないよう、リダイレクト設定は必ず行うようにしてください。
6.連携ツールの設定変更
最後に、Webサイトに連携しているアクセス解析などのツールの設定を変更します。連携ツールの設定に、Webサイトの常時SSL化・HTTPS化を反映させてください。
この設定を行わなければ、正確なツール活用ができなくなる可能性があります。
ここまでの手順が済めば、常時SSL化・HTTPS化の手続きは完了です。
まとめ
Webサイトの常時SSL化・HTTPS化は、ユーザーのWebサイト利用における安全性を確保するにあたって重要な手段です。これに対応しておくことにより、企業はユーザーからの信頼性も維持することができます。
常時SSL化・HTTPS化の手続きは、手順が多くやや面倒です。しかし、HTTPのままWebサイトを運営するのは危険です。
多発するサイバー攻撃に備えるためにも、常時SSL化・HTTPS化の手続きは早急に実施するようにしましょう。
