httpsとはどんな意味？https導入のメリットとhttpとの違い

WebサイトのURLには、「http」や「https」がついていますが、これにはそれぞれどういう意味があるのでしょうか？

Webサイトの作成にあたって重要なのが、セキュリティ面の心配です。特に、顧客の個人情報を扱うWebサイトやページであれば、セキュリティには細心の注意を払う必要があります。その場合、サイトURLは、httpとhttpsのどちらを導入すべきなのでしょうか？

今回は フリーランスSEの筆者がhttpsの意味や導入方法、メリット、httpとの違いなどについて解説します。

「https」とURLの文字列を理解しよう

URLはそれぞれの文字列に意味があります。まずは、「https」を含むURLの文字列について理解しましょう。

はじめに・httpとは？

まず、「http」とはHyper Text Transfer Protocolの略で、WebブラウザとWebサーバ間で情報をやり取りするためのプロトコルのことです。プロトコルは通信をやり取りする際に必要な決まりのことです。日本人が日本語という共通の言語で話すのと同じように、ブラウザとサーバはhttpなどの共通の決まりに沿ってやり取りをします。

これによりInternet ExplorerやGoogle ChromeといったWebブラウザからそれぞれのWebサーバに要求が出され、Webサイトを利用することが可能になります。

httpsとは？

一方、「https」はHyper Text Transfer Protocol over Secure Socket Layer（/transport layer security）のことで、httpにSSL/TLSによるデータ暗号化機能がついたものです。

SSL/TLSとは暗号化通信を行うためのプロトコルで、SSLをもとにして改良を加えた新しいものがTLSです。httpsという呼び方ももとになったSSLからとられていますが、現在はSSLよりもTLSのほうが多く使用されます。

SSL/TLSによる暗号化通信を行うことで、個人情報の漏洩を防ぐことができます。ログインを必要とするような個人情報を扱うWebサイトで主に使用されており、セキュリティ保護がされているということを表しています。

www

httpに続くアドレスで「www」と記載されているURLがあります。wwwは、World Wide Webの略で、世界中に張り巡らされた蜘蛛の巣という意味を持ち、世界中のサーバ上で公開されているデータをインターネットで取得できるシステムです。このシステムにより、文章だけではなく画像や動画などのさまざまなファイルをWeb上に公開したり、閲覧したりすることができます。

ne.jp

URLの最後によく使われるne.jpというドメインは、neがnetwork serviceの略で、jpがjapanの略です。携帯会社のメールアドレスにもne.jpが使われています。jpがつくことで、それが日本のドメインだということを示しています。

ほかにも会社のWebサイトで使われる「co.jp」はcommercial（商用）、もしくはcompanyやcorporation（企業）の略、国関係のサイトで使われる「go.jp」はgovernment（政府機関）の略などドメインは頭文字をとることで、その性質を表しています。

ディレクトリ名とファイル名

ディレクトリとは、PCでいうフォルダを指しています。URLでは、該当Webページのファイルが置かれているサーバ上のディレクトリ名が表示されます。ディレクトリに続くのがファイル名で、Webページ内の位置や場所を示しています。

例：https://www.◯◯.co.jp/list/all/index.htmlというWebサイトの場合

ディレクトリ名「list/all/」

ファイル名「index.html」

ディレクトリ名はスラッシュ（斜線「/」）で区切られることで、複数つけることができます。Webサーバ上の「list」「all」のフォルダ内に「index.html」というファイルがあるということです。

「https」と「http」との違い

「https」と「http」は、どう使い分ければ良いのでしょうか？

httpsとhttpの違いは？

「Yahoo！Japan」のWebサイトを例に見てみます。トップページは

http://www.yahoo.co.jp/

となっており、httpが使われています。

そこからYahoo！IDのログインページに遷移してみると、

https://login.yahoo.co.jp/config/login?.s●c=www&.done=・・・

というURLになり、httpsに変わります。この2つの違いは何でしょうか？

通信手段としては同じですが暗号化しているかどうかという違いがあります。httpsは、IDやパスワードを入力するページや個人用のページなどのセキュリティが必要とされる場合に使われます。httpsを使用する例としては、ネットショッピングのページや予約サイト、SNS、ネットバンクなどがあります。

httpsとhttpを使い分ける

第三者が情報を解読できないのがhttps、誰でも見られるのがhttpです。誰から見られても問題のない一般的なページであれば、httpを使用しても問題ありません。個人情報などの大切な情報を扱うページにもかかわらず、URLがhttpである場合は注意が必要です。

Webサイトで誰でも見られるようなものであればhttpを使い、ログインなどの処理を必要とするならhttpsです。ログインボタンがあるページは、httpsを使います。

サイト証明書を導入しよう！

SSLやTSLで通信が暗号化されているhttpsのWebサイトには、サイト証明書が発行されています。では、実際にサイト証明書を発行するにはどうしたら良いのでしょうか？

サイト証明書とは？

サイト証明書はサーバ証明書とも呼ばれ、Webサイトの実在性を証明しています。httpsのページには、アドレスバーに鍵マークが付いています。これはセキュリティ報告アイコンで、これをクリックすると証明書を表示することができます。

サイト証明書の導入方法

まず、CSR（Certificate Signing Request）を作成します。CSRとは証明書署名要求のことで、CSRをもとに認証局へ証明書発行の申請を行います。申請されると認証局からSSLサーバ証明書が発行されるので、Webサーバへインストールすれば導入完了です。

必要書類やCSRの作成方法、申請手順などはそれぞれのWebサーバや契約プラン、事業形態などによって異なるので事前に確認してください。レンタルサーバーでは、サイト証明書の設置が月額料金のかかる有料オプションとなる場合があります。レンタルサーバーでのサイト証明書は「共用SSL」と呼ばれ、レンタルサーバー事業者が取得している証明書を複数の契約者で共有しているものです。httpsの暗号化したページのURLが、レンタルサーバー事業者のドメインになってしまうので、できれば独自のサイト証明書を導入することをオススメします。

httpsを導入して、安心のサイト作りを！

現在のWebサイトでは、個人情報を扱うWebページでhttpsを導入することは、もはや当たり前となっています。ログインページや個人情報を扱う場合は、確実に導入しましょう。

良いWebサイトを作っても、セキュリティ対策ができていなければユーザーに不安を与えてしまいますし、個人情報が流出したら大問題です。ユーザーが安心して使えるWebサイト作りを目指しましょう。