httpとhttpsの違いはある?
「httpとhttpsには一体どういった違いがあるのか」このようなお悩みをお持ちではありませんか?
本記事では、httpとhttpsの違いについて解説します。
この記事を読めば、SSLと非SSLの見分け方やhttps化(SSL)のメリット、手順、注意点、真に安全なサイトの特徴もわかるようになります。
自分が運営するサイトにアクセスしてくれたユーザーの情報を悪意ある第三者から守ると同時に、SEO効果も実感したい人はホームページをhttps化しましょう。
ホームページを制作する際は、常時SSL(https)化が必須!
httpとhttps
httpとhttpsの違いについて見ていく前に、それぞれどういった意味を持っているのかを紹介します。
httpとは?
http(Hyper Text Transfer Protocol)とは「文字や画像、動画といったデータをサーバー(ユーザーからの要求に応答するもの)とブラウザの閲覧者の間で通信する際の通信規約のこと」です。
URLを構成するドメイン名の前の通信プロトコルがhttp://から始まります。以下の通りです。
URL=通信プロトコル(https)+ドメイン名
httpsとは?
https(Hyper Text Transfer Protocol Secure)とは「サーバーとブラウザの間で行われる通信の通信規約にセキュリティ対策を施し、安全性を高めたもの」です。
URLを構成するドメイン名の前の通信プロトコルがhttps://から始まります。以下の通りです。
URL=通信プロトコル(http)+ドメイン名
httpとhttpsの違い
httpとhttpsは、どちらも文字や画像、動画といったデータをサーバーとブラウザの閲覧者の間で通信するプロトコル(手順)であるという点で共通していますが、両者には「通信データが暗号化されているかどうか」という違いがあります。
httpは通信が暗号化されていないため、悪意ある第三者に不正アクセス、データ改ざん、情報が漏えいする恐れがあります。
また、暗号化されていないホームページは、Google Chromeを始めとするWebブラウザで「保護されていない通信」という警告文が表示されるので、危険を察知したユーザーに避けられ、集客やCV(コンバーション)に繋がりにくいです。
そんなhttpは、従来Webサイトを閲覧する目的でよく使われていました。
しかし、アクセスユーザーの大切な情報が悪意ある第三者による盗聴や改ざんによって脅かされるという危険性が長らく問題視されていました。
人々がインターネットを使う機会が増えるにつれ、被害が増えていたのです。
そこで、1994年にhttpsが登場します。httpsは、アクセスユーザーの情報保護に不安の残るhttp通信のセキュリティを強化したものです。
httpsのsは「安全な」を意味するSecureの頭文字からきています。
SSL(Secure Socket Layer)と呼ばれるブラウザとサーバーの間で安全に通信を行えるように、送受信するデータを暗号化する仕組みを通じて暗号化されているため、https化はSSL化と呼ばれることもあります。
そんなSSLと並んで話題に上がることの多いTLS(Transfer Layer Security)は、SSLの最新バージョンです。
SSLよりもさらに安全だと言われていますが、どちらも安全に通信する上で欠かせない暗号化技術という点で変わらないので、SSLとTLSはほとんど同じものだと捉えて差し支えありません。
そんなhttpとhttpsは、よく郵便物にたとえられます。
httpが「はがき」だとすれば、httpsは「封書」です。はがきは郵送している途中のどこかのタイミングで他の人に見られる可能性がありますが、封書は受け取った人しか中身を見られないようになっているため、伝えたい相手だけ情報が届き第三者に見られることがありません。
http(はがき)は、見知らぬ人に大切な情報を勝手に見られる可能性がありますが、https(封書)は情報を盗まれそうになったとしても暗号化されている(封筒の中に入っている)ため解読されません。
このように、httpは通信が暗号化されているのに対し、httpsは暗号化されていません。
httpを暗号化したものがhttps(SSL)だと言えます。逆に、httpは暗号化されていないので、非SSLと呼ばれることもあります。
httpはWebサイトを閲覧する分には良いですが、ECサイトでインターネットショッピングしたり、オンラインバンキングを活用したりする方にはおすすめできません。
なぜなら、氏名や住所などの個人情報、クレジットカードの番号、ログインID/パスワードがといった機密情報が悪意あるユーザーに盗まれてしまう恐れがあるからです。
このように、暗号化されていないと個人情報が筒抜けになり、書き換えられてしまう恐れがあるので、今では国内外で多くのサイトがhttps化しています。
ちなみに、2016年は世界のhttps使用率が50%に対して日本は25%と、https化が他国に後れを取っていましたが、2022年には96%という高水準になっています。
なお、httpsは標準化されているため、どこでアクセスしても見え方は同じなので表示について心配する必要はありません。
アドレスバーでのhttps (SSL)とhttp(非SSL)の見分け方
httpとhttpsの違いがわかったところで、実際にアクセスしたホームページがhttps化されているかどうか確かめたいと思いませんか?
そこでこの節では、SSLと非SSLをどうやって見極めるのかをご紹介します。
httpとhttpsを見分ける際には、次の2つをチェックしましょう。
・URLがhttpsから始まっているか
・鍵のアイコンが表示されているか
以下では、詳しく解説します。
URLがhttpsから始まっているか
URLがhttpsから始まっていれば、暗号化されているホームページということです。
その際、URLの左に「保護された通信」と表示されます。なかでも、EV認証されているホームページは、組織名が表示されるため、サイト運営者の情報を確かめる手間が省けるうえに、安全性の高さにユーザーが安心できます。
実際、ホームページにアクセスするユーザーはサイトが「暗号化されているかどうか」で、信頼できる相手かどうかを見分けています。
逆に、URLがhttpから始まっていれば、暗号化されていないホームページということです。
悪意ある第三者によって情報を盗み取られる危険性があるので、間違っても個人情報を入力しないようにしてください。アクセスしたホームページがhttps(SSL)かhttp(非SSL)か見分けたい人は、URLがhttpsから始まっているかどうか確かめましょう。
鍵のアイコンが表示されているか
鍵のアイコンが表示されていれば、https化されていると言えます。
鍵のアイコンをクリックすると、「この接続は保護されています」と表示され、サイト運営者の情報や鍵の情報を確認することができます。
逆に、鍵のアイコンが表示されていなければ、https化されていないということです。
ユーザーからすれば、アクセスしたサイトのアドレスバーに鍵マークがないだけで、サイトの安全性を疑ってしまいます。「怪しいサイトではないか」と警戒されてしまい、せっかくの集客やCV(コンバーション)のチャンスを失うことにも繋がりかねません。
そのため、鍵のアイコンを表示させてアクセスユーザーに少しでも安心感を持ってもらいたいサイト運営者は、一刻も早くhttps化するべきです。アクセスしたホームページがhttps(SSL)かhttp(非SSL)か見分けたい人は、鍵のアイコンが表示されているかどうか確かめましょう。
https化(SSL)するメリットはある?
ここまでで、アクセスしたホームページがhttpとhttpsのどちらなのか確かめる方法について見てきましたが、では一体どうして多くのサイト運営者がホームページをhttps化するのでしょうか?
それはhttps化(SSL)することで、次の2つのメリットを実感できるからです。
・セキュリティを強化できる
・検索順位を決める判断材料となる
以下では、詳しく解説します。
セキュリティを強化できる
ホームページはhttps化することで、サイトにアクセスする閲覧者の安全性を確保できます。
なぜなら、サーバーとブラウザの間で取り行われる通信が暗号化されているからです。
セキュリティ対策を行うことで、ホームページの安全性を高められるだけでなく、ユーザーからの信頼を得られます。
そして、最終的には集客やCV(コンバーション)の増加も見込めます。たとえば、あなたがアクセスユーザーであるとして、暗号化されている安全性の高いサイトAと暗号化されておらず情報を抜き取られる可能性のあるサイトBが目の前にあった場合、どちらのサイトに訪問したいと思いますか?言うまでもなく暗号化されているサイトAの方を選ぶことでしょう。
ユーザーは、安全性の高いサイトを信頼するのです。それだけサイトを運営するうえでセキュリティ対策は欠かせません。現に、Googleもhttps化によるセキュリティ強化を重要視しており、暗号化100%を目指しています。
逆に、https化せずにhttpのままであると、第三者に情報を盗まれたり不正アクセスされたりする恐れがあります。
さらに、ユーザーからは信頼されるどころか、個人情報を抜き取られないようにむしろ避けられてしまいます。
セキュリティ対策することで、ユーザーからの信頼を獲得したい人はhttps化させましょう。
検索順位を決める判断材料となる
https化にはSEO効果があり、検索エンジンが検索順位を決定する際の重要な判断材料となります。
そのため、https化されているホームページほど優先的に表示されます。逆に、通信が暗号化されておらずセキュリティ面に不安の残るhttpのホームページは、上位に表示させようと思っても難しいです。
なぜなら、検索エンジンはアクセスユーザーの個人情報が流出してしまう恐れのあるサイトなど評価しないからです。実際、Googleはガイドラインで通信が暗号化されないhttpを推奨していません。
しかし、検索エンジンはユーザーの情報保護に努めているサイトを高く評価します。
また、ユーザーがどこから流入してきたのか、参照元の記録が残るため、ホームページをhttps化させるとGoogleアナリティクスで分析しやすくなります。
問題点を改善すれば、検索順位の上位に表示させられる可能性を高めることもできます。
このように、https化はSEOの観点から見ても大切なのです。自社サイトを検索順位の上位に表示させたい人は、ホームページをhttps化させましょう。
https化(SSL)する手順
https化するメリットもわかったところで、さっそくホームページにhttpsを導入しようかと検討している方もいらっしゃるかもしれません。
そこで、この節ではhttps化の流れを紹介していきます。https化(SSL)する際には、次の7つの手順を踏みましょう。
・サーバーの状況をチェックする
・証明書署名要求(CSR)を作成する
・SSLサーバー証明書を申請/取得する
・SSLサーバー証明書をインストールする
・リンクをhttp://からhttps://に置き換える
・httpをhttpsにリダイレクト設定する
・活用しているツールの設定を変える
以下では、詳しく解説します。
サーバーの状況をチェックする
https化(SSL)するには、まずサーバーの状況をチェックしましょう。
なぜなら、サーバーによってhttps化に対応しているものとしていないものがあるからです。
時々ホームページをhttps化させようと思っても、そもそも対応していないためにhttps化させられない場合があります。また、https化はできるが、常時SSL化はできないサーバーもあります。
このように、https化はサーバーの状況によってはできる場合とできない場合があるため、今後https化をしようと思っている方は、利用中のサーバーがどこまで対応しているか事前に確認しておきましょう。
証明書署名要求(CSR)を作成する
サーバーの状況を確認できたら、次は証明書署名要求(CSR)を作成します。
証明書署名要求とは、いわば「SSLサーバー証明書の発行に必要な書類のようなもの」です。
作成方法はサーバーによって異なるので、詳しくはサーバー会社に問い合わせて確認を取ってみましょう。
SSLサーバー証明書を申請/取得する
証明書署名要求が取得できた方は、届け出先の認証局に申請してSSLサーバー証明書を取得しましょう。
SSLには、共有SSLと独自SSLの2種類がありますが、https化(特に常時SSL)に必要なのは独自SSL(自社ドメイン専用の証明書)のほうなので、間違って共有SSLを取得しないように気を付けましょう。
SSLサーバー証明書にはサイト運営者の情報や鍵の情報が載っていて、悪意ある第三者による改ざんを検知することもできます。
また、通信相手について知れる手段でもあり、httpsを使うためには欠かせません。
しかし、誰でも作ることができるので、たとえ偽サイトが作成した証明書だとしても本物かどうかわからないという懸念点があります。
そのため、正当なサイト運営者は第三者機関である認証局に本物であることを証明してもらわなければなりません。
SSLサーバー証明書をインストールする
共有SSLは一部のページだけを保護するため、アクセスしたユーザーのCookieが守られません。
しかし、常時SSLであれば、Cookieを始めとするデータ通信が暗号化され、情報を盗まれずに済みます。
これまでは決済ページや問い合わせページといった重要な情報を取り扱っているページだけhttps化させたサイトが多かったですが、近年は一部ではなく、SSLの中でも常時SSL(すべてのページをhttps化したもの)が主流になってきています。
ページすべてであれ、一部であれhttpからhttps化するには、SSLサーバー証明書をサーバーにインストールする必要があります。
そんな独自SSLは、次の3つのレベルに分けられます。
・DV認証(Domain Validation)ドメイン認証
費用が安い。3つの中で1番簡単に取得できる。サーバーが実在することを証明できても、サイトが本物かどうかは確かめられないため、偽サイトが多い。個人サイト向け。
・OV認証(Organization Validation)企業認証
費用は普通。実在性を審査される。コーポレートサイトなど企業向け。
・EV認証(Extended Validation)
費用は高い。サイト運営者の所在地まで厳格に審査される。ECサイトなど企業向け。
アドレスバーが緑色で表示される。
認証によって暗号の強度は変わりませんが、セキュリティ性能の高さやユーザーから得られる信用性が変わってきます。
SSLサーバー証明書の中身を確かめるには、まず、カギのマークをクリックしましょう。
次に、証明書の「詳細」からサブジェクトを選択すると、サイト運営者の情報が開示されます。次の通りです。
CN(コモンネーム)は、ドメイン認証を表しています。CN=文字列(ドメイン名)O(組織名)L(市町村名)S(都道府県名)C(国名)は、企業認証を表しています。
なお、EV認証は組織が実在することを示す書類として登記簿謄本や印鑑証明などが必要なので、準備しておきましょう。
リンクをhttp://からhttps://に置き換える
SSLサーバー証明書をサーバーにインストールしてhttps化したと勘違いする人が一定数いますが、この時点ではまだhttps化されていません。依然としてhttpのままです。
リンクをhttp://からhttps://に置き換える必要があります。
コードエディターで一斉置換するだけで、簡単に行えます。置き換える際には、相対パス(現在のファイルの位置からURLを記述したもの)ではなく、絶対パス(サイトの階層構造の頂点から目的地までURLをすべて記述したもの)の方を書きましょう。
このように、https化する際にはリンクをhttp://からhttps://に置き換えることが求められます。
リンクをhttp://からhttps://に置き換えて、初めてhttps化が完了したと言えます。くれぐれもインストール=https化ではないことに注意しましょう。
httpをhttpsにリダイレクト設定する
リンクをhttp://からhttps://に置き換えたら、続いてはhttpをhttpsにリダイレクト(転送)設定する必要があります。
なぜなら、外部リンクやお気に入り登録されているURLはまだhttps化されていないからです。この時点では、まだhttpのままになっています。
リダイレクトを設定すべき理由は大きく2つあります。次の通りです。
・ユーザーが転送前のページにアクセスしてリンク切れになってしまった場合に、転送先のURLに誘導できる
・転送前のURLが検索エンジンから受けたSEO評価を引き継げる
そんなリダイレクト設定は、.htaccessファイル(Webサーバーの基本動作をディレクトリ単位で制御するファイル)を作ることで設定できます。
リダイレクトには301リダイレクト(永続的な転送)と302リダイレクト(一時的な転送)の2種類がありますが、https化する時は301リダイレクトを設定しましょう
活用しているツールの設定を変える
最後に、活用しているツールの設定を変えましょう。
なぜなら、設定を変えないとhttp://からhttps://への変更に伴うユーザー数やコンバージョン率の変化を反映させられなくなってしまうからです。
効果測定を正しく行うためにも、すでに連携しているアクセス解析ツールの設定をし直す必要があります。
以上で、https化が完了しました。https化は工程が多く、手間がかかります。
こうした手間を省いて最短でhttps化したい方には、プラグインの活用がおすすめです。
実際、WordPressにはReally Simple SSLと呼ばれるSSL化できる無料のプラグインがあり、インストールして有効化するだけでhttps化できます。
ホームページのhttps化を手軽に済ませたい人は、プラグインを活用するのも1つの手です。
https化(SSL)する際の注意点
https化の仕方がわかったところで、続いてhttps化する際の注意点を紹介します。
https化するにあたって、ただやみくも手順を踏むのではなく、特に気を付けるべき点についてもしっかりと心得ておくことが大切です。
注意点を抑えることで、セキュリティ強化やSEO効果といったメリットを最大化させることができます。https化(SSL)する際には、次の8つに注意しましょう。
・httpsであれば安全という思い込み
・ホームページをサイバー攻撃からは守れない
・コストがかかる
・ページの表示速度が遅くなる
・301リダイレクトを設定しなければならない
・canonicalタグもhttpsに変える
・内部リンクを更新する
・httpのままだと集客/CVが減る
以下では、詳しく解説します。
httpsであれば安全という思い込み
たしかにhttpsはhttpよりも安全ですが、必ずしも安全とは限りません。
なかには、https化されている悪質な詐欺サイト/偽サイトもあります。そのため、頭の中で「https=安全」という変換するのは危険です。httpsであれば、安全という思い込みは捨てましょう。
ホームページをサイバー攻撃からは守れない
第三者からの中間者攻撃(盗聴や改ざんのこと)を防ぐことはできても、サイバー攻撃からホームページを守ることはできません。
httpsが守れるのは純粋にアクセスしてくれたユーザーの情報であり、通信相手が偽物だとホームページ自体は守れないのです。
そのため、ホームページを保護したい方は、https化とは別にセキュリティ対策を講じる必要があります。
今後、https化しようと思っている方は、httpsが保護できる範囲を把握しておきましょう。
コストがかかる
https化にはコストをかかります。
一般に、1年間で大体10万円ほど費用がかかると言われますが、認証によって費用が変わります。費用相場は次の通りです。
・ドメイン認証
無料あるいは数千円
・企業認証
5~8万円
・EV認証
数十万
ドメイン認証のように価格の安いSSLはサポートがないため、フィッシング詐欺に対策できず、ユーザーからの信頼を得にくいという懸念点があります。
逆に、https化に10万円以上かかることもあるEV認証は、手厚いサポートを受けられるだけでなく、信頼性を獲得しやすいです。
このように、https化は価格がレベルに比例する形で、認証のレベルによってかかる費用は大きく変わります。自社に合った認証を施しましょう。
ページの表示速度が遅くなる
https化するとサイトの表示スピードは遅くなります。
なぜなら、暗号化の処理でサーバーに負荷がかかるからです。
表示速度が1秒でも遅れれば、直帰率や離脱率、ページ滞在時間に影響してきます。
ただし、ホームページがHTTP/2という通信様式に対応していれば、表示速度はむしろ速くなります。
https化させつつ、サイトの表示速度を速めたい方はHTTP/2を有効に設定しましょう。
301リダイレクトを設定しなければならない
https化する際、同時に301リダイレクトを設定する必要があります。
なぜなら、設定することで、旧アドレスにアクセスしてしまったユーザーを新しいアドレスのサイトに誘導したり、遷移前のSEO評価を引き継げたりするからです。
逆に、設定しないと検索順位が下がってしまいます。
このように、301リダイレクトはユーザーとSEOの両面から見て設定した方が良いことがわかります。
canonicalタグもhttpsに変える
canonicalタグ(検索エンジンから重複ページと認識されないためにhead内に記述するタグ)をhttpsに変えましょう。
なぜなら、httpのままだとcanonicalタグが機能しないからです。
そんなcanonicalタグは、いわば重複URLを正規化(コンテンツの評価が分散してしまったり、重複コンテンツと見なされてペナルティを受けてしまったりといった間違った解釈をされるのを防ぐために、検索エンジンに評価してもらいたいURLを統一すること)させるのに必要なタグだと言えます。
このように、様々なデバイスに対応するためにひとつのWebサイトを複数のURLで表すと、評価が分散して検索順位が下がってしまうだけでなく、Googleから重複コンテンツと見なされてしまいます。
canonicalタグを機能させてURL正規化を行うために、コードエディターで一斉置換してhttps化させましょう。
内部リンクを更新する
https化する際、内部リンクの更新も行う必要があります。
なぜなら、更新せずそのままにしていると、リンク切れ(自社サイトのWebページに設置してあるリンクの遷移先がHTTPステータスコードで404 Not Found により、アクセスできなくなってしまっている状態)を起こしてユーザーの利便性を損ねたり、クローラーが巡回しにくくなってしまったりするからです。
このように、リンク切れはSEO的にもユーザーにとっても好ましい状態であるとは言えません。
ユーザービリティとクローラビリティを下げないためにも、コードエディターで一斉置換して内部リンクを更新しましょう。
httpのままだと集客/CVが減る
httpだとユーザーは、サイトの安全性が低いことを気にしてアクセスしなくなります。
アクセスユーザーを定着させるには、セキュリティ対策を徹底することで安心してもらい信頼を得ることが大切です。アクセスが減り、離脱率が上がると、集客やCV(コンバーション)が減ってしまいます。
集客やCVを増やすためにもhttps化させましょう。
真に安全なサイトとは?
インターネット上にあるホームページは、https化されていても偽サイトの場合があります。
そのため、悪意ある第三者に自身の大切な機密情報を抜き取られないためにも、どういったサイトが真に安全だと言えるのかを知っておかなければなりません。
本当に安全性の高いサイトは次のような特徴を持っています。
・フリーメールアドレスを使っていない
・口コミが良い
・振込先名義や電話番号が個人ではなく企業になっている
以下では、詳しく解説します。
フリーメールアドレスを使っていない
サイト運営者が明らかなホームページは独自ドメインを使っています。
逆に、@gmail.comや@yahoo.co.jpのようなフリーメールアドレスを使っている場合、偽サイトである可能性が高いです。
アクセスしたホームページが、フリーメールアドレスを使っていないか確かめましょう。
口コミが良い
口コミは、真に安全なサイトを見分ける際の指針となります。
なぜなら、口コミが良いサイトは信頼性が高く、安全な可能性が高いからです。
逆に、「詐欺被害に遭った」ことを訴えるような悪い口コミが多く見られる場合には注意しましょう。
振込先名義や電話番号が個人ではなく企業になっている
振込先が個人名義になっていたり、電話番号が個人番号になっていたりする場合は、粗悪な人物が最初からユーザーを騙すつもりでサイト運営している可能性が高いです。
なかには素性を調べられないように、電話番号がどこにも掲載されていない場合もあります。
大切な個人情報を入力してしまい、詐欺被害に遭うことがないように気をつけましょう。
まとめ
今回は、httpとhttpsの違いについて解説しましたが、いかがでしたでしょうか。
httpとhttpsの違いは「通信が暗号化されているかどうか」です。
アドレスバーで見分ける際には、「URLがhttpから始まっているか」「鍵のアイコンが表示されているか」の2つに着目しましょう。
https化(SSL)するメリットは大きく2つあります。セキュリティを強化できる点と検索順位を決める判断材料となる点です。
実際に、https化(SSL)する時は、次の7つの手順を踏む必要があります。
まず、サーバーの状況をチェックしてhttps化させようとしているホームページが、SSLに対応しているかどうかを確かめましょう。
次に、証明書署名要求(CSR)を作成したうえでSSLサーバー証明書を申請/取得します。そして、SSLサーバー証明書をインストールしたら、リンクをhttp://からhttps://に置き換え、httpをhttpsにリダイレクト設定しましょう。
最後に、活用しているツールの設定を変更すればhttps化完了です。
https化(SSL)する際には、メリットを最大化させるためにも次の8つに注意しましょう。
・httpsであれば安全という思い込み
・ホームページをサイバー攻撃からは守れない
・コストがかかる
・ページの表示速度が遅くなる
・301リダイレクトを設定しなければならない
・canonicalタグもhttpsに変える
・内部リンクを更新する
・httpのままだと集客/CVが減る
アクセスしたホームページがhttpsであれば100%安心できると言うわけではありません。
なぜなら、https化されていても偽サイトの場合があるからです。
安全性の高いサイトは、「フリーメールアドレスを使っていない」「口コミが良い」「振込先名義や電話番号が個人ではなく企業になっている」といった特徴を持っています。
大切な情報を偽サイトに盗み取られないために、どういったサイトが本当に安全と言えるのか心得ておきましょう。
自分が運営するサイトにアクセスしてきたユーザーの情報を悪意ある第三者から守ると同時に、SEO効果も実感したい人はホームページをhttps化してみてはいかがでしょうか。
【株式会社セレクト・ワン】
東京本社:03-5953-7160
株式会社セレクト・ワンの社員によってオススメ情報を執筆している【編集チーム】です。”初心者の方にもわかりやすく”をモットーに、記事を読んだら直ぐに実践できるWEBマーケティング関連の情報を紹介しています。
また、弊社の実績や導入事例から見る・コンテンツマーケティング・SEO対策・WEB制作など、様々な最新情報やノウハウも発信していきます。