サイト改善 / 制作 2020.01.23

httpとhttpsの違いとは?覚えておきたいWEBの知識

皆さんは、「URL(WEBブラウザー上部に表示されている文字列)」の表示に違いがあるのを知っていますか?

省略される場合もありますが、URLには必ず「http://」か「https://」かのどちらかを冒頭につけることになっています。
そしてhttpとhttpsはセキュリティ面において違いがあります。
https化していない(httpsではない)WEBサイトはセキュリティ面の違いだけでなく、「SEO」的にも不利になります。

まだWEBサイトをhttps化していない場合は、早めの対策が必要です。

今回はhttpとhttpsの違い、そしてhttpsの機能や推奨する理由、導入時の注意点などをご紹介していきます。

httpとhttpsの違い

この章では、httpとhttpsの違いを解説していきます。

httpとは

httpとは「Hyper Text Transfer Protocol 」の略称で、「WEBブラウザー上でサーバー同士が使う通信手段(プロトコル)」です。

インターネット上では、データを送受信する際に様々な通信プロトコルが利用されています。WEBサイトを構成している「HTML」や、関連のデータをやり取りするときに使われているプロトコルがhttpです。

WEBサイトがまだ一般的ではなかった時代からhttpは使われてきました。それだけにインターネットが広く普及し、誰もが当たり前のようにWEBサイトを見る現在では、デメリットも目立つようになってきました。

そこで登場したのが、次に説明するhttpsです

httpsとは

httpsは、技術的に言えばhttpとまったく別物というわけではありません。httpを、「TLS(以前はSSLが使われていたが、脆弱性発見により使われなくなった)」という技術により暗号化した通信プロトコルです。

インターネットの普及により、クレジットカード情報といった個人情報をWEBサイト上でやり取りする場面が増えています。httpのままですと、やり取りされるデータは平文、つまり暗号化されていません。暗号化されていないと、通信を傍受されたりしたときにすぐデータを盗まれてしまい大変危険です。

httpsでは、TLSにより暗号化され、そのままの状態ではデータを読み取ることができません。ですから、万が一データを盗まれても、情報の漏洩を防ぐことができます。

ちなみにTLSによる暗号化は「FTP(サーバー上でファイルなどのデータを送信したりするときに使われる通信プロトコル)」など、他の通信プロトコルでも使われています。

httpとhttpsの違い

httpとhttpsの違いは、前述した通り通信が暗号化されていないか、されているかです。

現在では技術面だけでなく、さまざまな面からhttpsが重要になっています。特に信頼性を重視するWEBサイトは、httpsの実装が急務であると言っても過言ではありません。

詳しくは、「httpsを推奨する4つの理由」で分かりやすく解説していきます。

httpsの機能

httpsには、次の機能があります。

通信の暗号化

httpsでは、TLSにより通信を暗号化できます。暗号化には、「共通鍵暗号方式」と「公開鍵暗号方式」の両方を組み合わせて利用します。

WEBブラウザーからのリクエストによりWEBサイトデータ送信を求められたとき、WEBサーバーは専用のサーバー証明書を「公開鍵」というデータといっしょに送ります。WEBブラウザー側では証明書内容を調査し、安全であると判断したら「共通鍵」というデータを生成し、公開鍵で暗号化してWEBサーバーに送信します。

WEBサーバーは公開鍵と一対になった「秘密鍵」でデータを複合し、共通鍵を入手します。
ここまで来れば、後は安全にhttps通信が可能になります。

サーバーの所有者の正当性の証明

httpsを使うと、WEBサイトを管理するWEBサーバー側にサーバー証明書が発行されます。

サーバー証明書には「認証局(CA)から、このWEBサイトはきちんと存在が認証されている」という旨のメッセージが記載されており、WEBサイトの正当性を外部にアピールできます。

サーバーの証明書レベルには3段階あり、上位レベルでは価格が高くなる分発行されたWEBサイトの信頼性も極めて高くなります。詳しくは後述します。

httpsを推奨する4つの理由

httpsは、次のような理由から推奨されます。

セキュリティ面の保障

httpでしか通信できないWEBサイトでは、通信が傍受されデータが盗み取られる可能性があります。そのため、たとえWEBサイト自体に悪意がなくても、個人情報を入力するのは極めて危険です。
https化されているWEBサイトは、データが暗号化されて送受信されるため、データを盗み取られる心配は比較的少ないと言えます。ただしhttps化自体はフィッシング詐欺サイトなどでも実装している場合があるので、単にhttps化されたサイトだから安心という安直な考えは避けましょう。

検索順位に影響する

httpsは、技術面だけでなくSEO面でも好影響を及ぼします。

「Google」では、WEBサイトの評価の一つとしてhttps化されているかどうかを取り入れていることを公表しています。つまりhttps化されていないWEBサイトは安全性が確保されていないとして、検索順位でも競合に差をつけられてしまいます。

WEBサイト評価の基準は他にもあり、不正対策などのためGoogle側では各基準の優先順位までは公表していません。しかし評価に入ると発表されている以上、SEOとしてhttpsは重要だと言ってよいでしょう。

サイトの信頼性

「Google Chrome」や「Fire Fox」といったWEBブラウザーでは、httpsに対応していないWEBサイトで警告表示が出ます。年々その基準は厳しくなっており、一般ユーザーにでもはっきり分かるようにアップデートが続けられています。

将来的にhttpのままだと、「このWEBサイトは信頼できない」という評価をITに詳しくない方にまでつけられてしまいます。

一方、httpsにしておくと、警告表示ではなく鍵のアイコンがURLバーに表示されます。そのため、「このWEBサイトは安全」だという評価を受けられます。WEBサイトの信頼性の観点からも、https表示は必須です。

アクセス解析

もしWEBサイトがhttpのままだと、アクセス解析の面でも不利になってしまいます。

分析ツールでWEBサイトのアクセス情報を見る際、httpsからhttpへの流入分は参照データが取得できません。またGoogle検索エンジンからhttp状態WEBサイトへの流入も、同様にデータが残りません。

つまりWEBサイトの効果を確実に分析したいならば、全ページhttps化が必要不可欠です。全ページをhttps化しておかないとページ同士の流入測定も難しくなりますし、URLバーに鍵アイコンが表示されず正当性の証明もできなくなってしまいます。

https導入時に注意すべき、サーバー証明書

httpsを導入する際、サーバー証明書を認証局から発行してもらうのですが、認証レベルによって信頼性が違ってきます。

サーバー証明書の種類を把握する

サーバー証明書は、認証レベルごとに種類が分かれています。

httpsにさえしておけばとりあえず安全は確保されるように見えますが、実は残念ながらそうではありません。たとえば認証レベルの一番低い「DV(Domain Validation)」では、費用は安価な分WEBサイト所有者の実在証明まではできません。このため誰でも発行できるので、単独では信頼性を完全には確保できないのが弱点です。

対して一番レベルの高いEV(Extended Validation)認証は、法人の所在地を含めた細かい正当性証明が可能です。その代わり、維持費用が高額になるのがネックです。

https化の際は、サーバー証明書のレベルまで含めてどこまで認証レベルを高めるかよく考える必要があります。

サーバー証明書の種類別認証レベル

サーバー証明書には、次の認証レベルがあります。

・ドメイン認証のサーバー証明書
・企業認証のサーバー証明書
・EV認証のサーバー証明書

ドメイン認証のサーバー証明書

ドメイン認証レベルのサーバー証明書は、WEBサイトのドメインが単に正当であることを証明します。

ドメインは誰でも発行可能で、このレベルの証明書では信頼できるWEBサイトかどうかは一目で見抜けません。特に会社や団体の実在証明はできないので、インターネットに詳しいユーザーには、実在性を疑われる可能性があります。

個人事業主やアフィリエイターなど、企業や団体ほどの存在証明の必要ない方におすすめです(そもそもこれより上位レベルの証明書は、法人か団体でないと取得できません)。

企業認証のサーバー証明書

企業認証のサーバー証明書(OV / Organization Validation)は、WEBサイトを管理している企業や団体が法的に実在していることを証明できます。認証局側で実在証明を行うので、その分ドメイン認証より時間が掛かり価格も高めです。

企業や団体が所有しているWEBサイトが、安全であることをはっきり証明したいときは必須です。

EV認証のサーバー証明書

EV認証のサーバー証明書(Extended Validation)は、最高レベルの証明書です。

単に企業や団体の実在性だけでなく、所在地まで含めた確実な正当性証明ができます。このため「法的に存在はしているが、悪徳な企業」といった対象は除外され、本当に信頼できる企業や団体しか取得できません。

またWEBブラウザーによってはURLバーが緑色になって表示され、安全なWEBサイトなのが誰からでもすぐ分かります。

ただし発行には時間が掛かり、費用もかなり割高です。

まとめ

今回はhttpとhttpsの違い、そしてhttpsの機能や推奨する理由、証明書などについてご紹介してきました。

世界中でhttpに代わり、httpsが一般的な存在になってきています。個人や企業、団体にかかわらず、WEBサイトの全ページhttps化は必要不可欠です。

httpsは、サーバー証明書レベルまで考えて最適な方法で導入しましょう。

ヒトノテロゴ

執筆者:山本卓真

株式会社ヒトノテのSEOコンサルタント。事業会社でのWEBマーケティングの広い知見と経験をもとにクライアントと伴走することが得意です。

ヒトノテ坪昌史

監修者:坪昌史

株式会社ヒトノテの代表取締役CEO。 エンジニアとしてキャリアスタートし、サイバーエージェントのSEO分析研究機関を経て、リクルートの横断マーケティング組織のマネージャー&全社SEO技術責任者を務める。その後、独立しSEOを中心としたクライアントの課題解決を行う。2017年、株式会社ヒトノテを創業し、様々な企業のウェブマーケティングの支援を行う。

オンライン相談

ご質問やご相談など
お気軽にお問い合わせください

お問い合わせ お電話でのご相談は平日10:00-18:00 03-6265-6636