https（常時SSL）とは？変更すべき理由・具体的な変更方法

httpとの違い

httpsとhttpの違いは、セキュリティの強度にあります。httpは「HyperText Transfer Protocol（ハイパーテキスト・トランスファー・プロトコル）」の略語で、ブラウザとサーバー間のデータの送受信で使用される基本的なプロトコル（仕組み）を意味します。

このhttpには、データを保護する機能がありません。これに対し、httpsは通信の安全性を保護するプロトコルであり、データの送受信が暗号化されているため、高いセキュリティ性能を発揮します。

【関連記事】httpとhttpsの違いとは｜SSLサーバー証明書の確認方法や信頼できるサイトの見極め方

SSLとは

SSLとは、「Secure Sockets Layer（セキュア・ソケッツ・レイヤー）」の略語で、ネットワーク通信の安全性を確保するプロトコルのことです。

このSSLは1995年に、インターネット上のプライバシー、認証、データの整合性を確保する目的で開発されました。httpsの通信はSSLにより暗号化され、送受信されるデータの安全性が確保されます。

似たような言葉でTLS（Transport Layer Security）というものがあり、これはSSLの次世代規格として開発されたプロトコルです。SSLの課題であった脆弱性を解決しています。

クライアントからサーバーにリクエストを送る

https通信はまず、クライアントからサーバーに「TLS接続」のリクエストを送ります。TLSは、通信を暗号化して認証するためのプロトコルです。

例えば、検索で表示されたURLをクリックしたり、URLを直接打ち込んだりすることで、サーバーにリクエストが送られます。

クライアントが公開鍵付きサーバー証明書を受け取る

リクエストがサーバーに送られると、公開鍵付きサーバー証明書がクライアントに届き、クライアントはそれを検討します。公開鍵付きサーバー証明書とは、Webサイトのドメイン名と公開鍵を含んだ証明書のことです。

この際、認証局で発行されたルート証明書（公開鍵証明書が信頼できるものと証明するもの）を使用します。このルート証明書は、ブラウザに標準搭載されています。

▼公開鍵とは

暗号化通信において、送信側から受信側への安全な通信を実現するときに使用するキーのこと。

クライアントが共通鍵を暗号化してサーバーに送る

公開鍵付きサーバー証明書の確認が完了すると、クライアントは公開鍵を使用して共通鍵を暗号化し、それをサーバーに送ります。公開鍵で暗号化された共通鍵は、サーバーが保持する秘密鍵でのみ復号化できます。

復号化とは、誰でも読める状態にすることです。したがって、送受信者以外が情報を解読することはできず、安全にデータの通信を行うことができるのです。

▼秘密鍵とは

暗号化と復号化の仕組みで使用されるプライベートキーのこと。公開鍵で暗号化されたデータを復号したり、データを電子署名したりする際に利用される。

共通鍵暗号方式で暗号化通信を行う

共通鍵をクライアントとサーバーがそれぞれ所有できたら、共通鍵暗号方式で暗号化通信が行われます。共通鍵暗号方式は同一の鍵を使用して通信するため、公開鍵暗号方式よりも暗号化と復号化が高速で実施されます。これにより、通信のパフォーマンスが向上し、安全性が確保されるのです。

【関連記事】HTTPSプロトコルはなぜ必要？HTTP・SSLとの違いや通信の仕組みを解説

データの盗聴・改ざんを防げる

URLをhttpsに変更することで、第三者によるデータの盗聴や改ざんを防げます。Cookieも含めてデータ通信が暗号化されるため、第三者から情報を読み取られにくくなるのです。

したがって、ユーザーが登録などで個人情報やクレジットカード情報を入力しても、その情報がインターネット上で露出したり、改ざんされたりするリスクは非常に低いと言えます。

このようにhttpsによるセキュアな通信は、ユーザーの情報を保護し、Webサイト全体の信頼性を高める効果があります。

第三者のなりすましを防げる

httpsによる通信は、第三者のなりすましに対して有効な対策にもなります。通常のhttp通信では、第三者が本物のWebサイトであるかのように振る舞い、訪問者の情報を騙し取るフィッシング詐欺などが可能です。

その点、httpsでは公開鍵付きサーバ証明書によりサーバーの身元を証明します。この証明書は信頼のある認証機関によって発行されるため、第三者が偽造することはほぼ不可能です。

そのためURLをhttpsに変更することで、第三者によるなりすましの被害を防ぐことができます。さらに、https化すればCookie情報が盗まれるリスクも減るため、第三者が本人になりすましてログインするといった攻撃も抑えられます。

【関連記事】サイバー攻撃とは？手口の種類や事例、最近の動向と対策を詳しく紹介

Webサイトが高速化する

https通信は「HTTP/2」というプロトコルをサポートしているため、Webサイトの高速化に貢献します。

▼HTTP/2とは？

サーバーとクライアントがデータを送受信するために使用するHTTPの改良版。

HTTP/2は、通信の高速化を実現するための技術です。複数のリクエストを並列的にやり取り可能であり、サーバーからクライアントに必要なリソースを先読みして送信するサーバプッシュといった機能も備えています。

これらの機能により、Webサイトのページの読み込み速度を大幅に向上させることが可能です。特に大規模なWebサイトや高負荷を伴うサービスであればあるほど、この高速化の効果は顕著に現れます。

https化の準備を行う

まずは、https化の準備を行います。https化の準備は大きく、「サーバーがhttps化に対応しているのか確認する」と「CSR（証明書署名要求）を作成する」の2点です。

全てのレンタルサーバーがhttpsに対応しているとは限らないため、事前にレンタルサーバーの利用規約を見て確認する必要があります。また、提供者に直接問い合わせるのも有効です。

CSRは、SSLサーバー証明書を発行するための署名要求であり、公開鍵の情報、組織名、所在地などが含まれます。秘密鍵はSSLサーバー証明書をインストールする際に必要になるため、CSR作成時に秘密鍵を安全な場所に保管しておきましょう。

SSLサーバー証明書を取得する

https化の準備が終わったら、SSLサーバー証明書を取得します。SSLサーバー証明書とは、Webサイトへの接続が安全であることを証明する電子証明書のことです。

SSLサーバー証明書には「共有SSL」と「独自SSL」があり、URLのhttps化では独自SSLを使用します。独自SSLは、Webサイトの所有者が取得した証明書を指します。

独自SSLには「ドメイン認証型（DV）」「企業認証型（OV）」「EV認証型」の3種類があり、認証の厳格度とコストはDV＜OV＜EVの順に高くなります。

【関連記事】SSLサーバー証明書とは？導入すべき理由と選び方を徹底解説

SSLサーバー証明書をインストールする

SSLサーバー証明書の取得後は、取得した証明書をサーバーにインストールします。証明書をインストールすることで、そのサイトにアクセスした訪問者のやり取りが暗号化されます。

インストールの手順はサーバーによって異なるため、各サーバーのマニュアルやヘルプページを参照しましょう。前述した通り、インストール時にはCSR作成時の秘密鍵が必要となります。

リンクの置き換え・リダイレクト設定

ここまでの手順でhttps化は完了していますが、その後はWebサイトの利便性を高めるために、以下の作業を行う必要があります。

▼証明書をインストールした後の必要作業

• ソースコード内リンクをhttpsに置き換える
• リダイレクト設定を行う

リンクの差し替えを行わないと、各ページに正常にアクセスすることができなくなります。ソースコード内リンクだけでなく、Webサイト内のリンクと外部リンクも対象です。

また、リダイレクト設定をすることで、httpの古いURLをブックマークしているユーザーや、古い外部リンクからアクセスするユーザーに対しても、新しいhttpsのページが表示されるようになります。

最後に、Webサイト全体のエラーを確認してhttps化は完了です。より詳しい手順やWordPressをhttps化する方法については、以下の記事をご確認ください。

【関連記事】URLを「https」に変更するには？常時SSL化の手順を徹底解説