HTTPとHTTPSの違い

HTTPとHTTPSの違い

HTTPとは

HTTP（Hypertext Transfer Protocol）とは、Webサイトを表示するためのプロトコルです。

クライアント（利用者のコンピュータなど）から「HTTPリクエスト」を送り、Webサーバがクライアントからの要求に対する応答「HTTP レスポンス」を返す仕組みです。

上記はHTTPのイメージ図です。「http://×××.co.jp」を見たいという「HTTPリクエスト」に対して、Webサーバが「http://×××.co.jp」の内容を「HTTPレスポンス」という形で返却しています。

HTTPについての詳細は次の記事をご覧ください。

HTTPSとは

HTTPS（Hypertext Transfer Protocol Secure）とは、Webサイトを安全に表示するためのプロトコルです。

HTTPS自体は単体のプロトコルではなく「SSL/TLS」によって提供されるセキュア（安全）な接続の上でHTTP通信を行うことをHTTPSと呼んでいます。

上記はHTTPSのイメージ図です。

通信内容が暗号化されず平文のまま送信されるHTTP通信とは違い、HTTPS通信では、通信内容が暗号化されます。

HTTPSについての詳細は次の記事をご覧ください。

HTTP通信はなぜ危険なのか？

スポンサーリンク

通信内容の盗聴（個人情報の漏洩）

HTTP通信では、通信内容が暗号化されていません。そのため、ネットワークに流れるパケットを監視する専用機器（※1）で通信内容を盗聴すれば、簡単にパスワードなどの個人情報を盗み取ることができてしまいます。

※1：本来はネットワークの問題を解決のために使用する専用機器。

HTTPS通信を利用することで、通信内容が暗号化されます。通信内容を盗聴しても暗号化されているため、解読は困難です。

このように、HTTPS通信は個人情報の漏洩を防ぐ効果が期待できます。

通信内容の改ざん

HTTP通信では、通信内容が暗号化されていないため、データを「改ざん」される危険性があります。

中間攻撃といったクライアントとWebサーバの間に特別なソフトウェアなどの不正な手段を用いて傍受、盗聴して内容を取得、そして「改ざん」を行う手口です。

HTTPS通信を利用することで通信内容が暗号化され、中間攻撃を防ぐ効果が期待できます。

「なりすまし」による詐欺行為

「なりすまし」とは本家のサイトになりすまして、偽のサイトに誘導し個人情報などを盗み取ったり、盗んだ情報を悪用するなどの行為ことをいいます。

偽のサイトは本家のサイトとほとんど同じ作りをしていることも多く、HTTP通信では偽サイトを見抜くことは困難です。

HTTPSでは、第三者の機関である認証局（CA：Certification Authority）がWebサーバに対してSSLサーバ証明書を発行します。

認証局に証明してもらったWebサイトは、URLの左側に鍵マークが付与され、さらに鍵マークをクリックすると「SSLサーバ証明書」の内容が確認できます。

SSLサーバ証明書には「サーバ所有者の情報」や「発行者の署名データ」などが含まれており、利用者はSSLサーバ証明書を確認することで、「サーバ所有者の情報」そして、認証局がサーバ証明書を発行した安全なWebサイトであると判断することができるため「なりすまし」による攻撃を防ぐ効果が期待できます。

ただし、近年では「SSL証明書」を導入している詐欺サイトが増えてきています。「HTTPS = 安心」とは考えず、個人情報を入力する際は「正規のURLなのか」「証明書の内容は正しいのか」などを確認することが大切です。

HTTPS通信の仕組み

HTTPS通信は「SSL/TLS」によって提供されるセキュア（安全）な接続の上でHTTP通信を行います。

SSL/TLSは、「ハイブリッド暗号方式」と呼ばれる暗号方式を採用して通信内容を暗号化しています。「ハイブリッド暗号方式」とは「共通鍵暗号方式」と「公開鍵暗号方式」の2つの暗号方式を組み合わせた暗号方式です。

HTTPS通信の仕組みについては次の記事をご覧ください。