コラム

第20回「WebサイトのHTTPS化とは?」2021.12.23

皆さんはWebサイトのURLに「http」と「https」の2種類があることはご存知でしょうか?

昨今はなりすましサイトの増加によるニュース等からWebセキュリティに関する知識として「httpsの方が安全」という認識を持っている方も多いのではないかと思います。
そこで、今回はなぜ「https」の方が安全なのかをご紹介します。

 

1.「http」と「https」の違いは何か?
2.サーバ証明書の役割
3.サーバ証明書の確認方法は?
4.最後に

1.「http」と「https」の違いは何か?

 

一見すると「s」がついているかどうかの小さな違いに見えますが、「https」は通信内容を暗号化しており、内部には大きな違いがあります。

暗号化により「https」では、悪意のある第三者が通信内容を盗聴したとしても内容を解読されないため、安全というわけです。
とはいっても、Webサイトの運営組織が構築した仕組みを利用して暗号化通信を行っていては、自身で自身のことを安全だといっていることになり、信頼証明にはなりません。
そこで、“認証局”と呼ばれる第三者機関が発行した、サーバ証明書をWebサーバにインストールすることでWebサイトの信頼証明と暗号化する仕組みがとられています。

 

 

 

2.サーバ証明書の役割

 

サーバ証明書の役割は大きく分けて2つあります。

・通信内容の暗号化
・Webサイト運営者(企業)の存在証明

「https」が通信の暗号化をしているのは知っていても、「Webサイト運営者(企業)の存在証明」を行っているのは知らない方も多いのではないかと思います。
証明局は証明書の発行にあたり、Webサイト運営者(企業)を調査し、その組織は法的に存在するか、ドメイン所有者であるかを確認しています。
証明書により、企業の存在証明がされているわけですが、ではその証明書がどの程度有効かというと、2021年12月時点では、業界標準で発行可能な証明書の有効期間は最大398日間となっています。
仮に有効期限が切れてしまうと、サイト利用者に迷惑がかかってしまいます。自社でサイト運営している場合は、担当者や作業内容の引継ぎ等、計画的に行っていく必要がありますね。

 

 

 

3.サーバ証明書の確認方法は?

 

証明書と言われても、よく分からないという方、実はアドレスバーに表示されている鍵マークをクリックすると、そのサイトの所有者や証明書の発行機関や有効期間等の情報を確認することができます。
普段使用しているWebサイトがどのようになっているか、確認してみてはいかがでしょうか?


 

4.最後に

 

・「https」は通信の安全性を確保するために、第三者機関も交えて信頼性を高めている仕組みである。
・最近では「https」ではないWebサイトや、証明書の期限切れで警告が出るようになっている。そうしたWebサイトでは通信の安全性が確保されていない。

以上の2点を覚えていただけると良いと思います。

 

なお、「https」は通信の安全を確保していますが、Webサイト自体が安全と判断できるわけではありません。

個人情報の取り扱いには、十分に注意して行っていくようにしましょう。