CORPORATE SEARCH検索

https(常時SSL)とは?変更すべき理由・具体的な変更方法

WebサイトのURLに記載される「https」には、一体どんな意味があるのでしょうか?「https通信の仕組みやhttpとの違いを知りたい」という方もいるはずです。

httpsとは、暗号化通信(SSL)によってセキュリティを強化したhttpのことです。httpはブラウザとサーバー間のデータの送受信で使用されるプロトコル(仕組み)で、SSLサーバー証明書を導入し、URLをhttpsに変更することで、Webサイトの安全性を高めることができます。

今回は、httpsによる通信の仕組み、httpsに変更すべき理由、具体的な変更方法を解説します。httpとの違い、SSLの概要についても併せて紹介します。

目次

[ 開く ] [ 閉じる ]
  1. https(常時SSL)とは
  2. httpとの違い
  3. SSLとは
  4. httpsによる通信の仕組み
  5. クライアントからサーバーにリクエストを送る
  6. クライアントが公開鍵付きサーバー証明書を受け取る
  7. クライアントが共通鍵を暗号化してサーバーに送る
  8. 共通鍵暗号方式で暗号化通信を行う
  9. https(常時SSL)に変更すべき理由
  10. データの盗聴・改ざんを防げる
  11. 第三者のなりすましを防げる
  12. Webサイトが高速化する
  13. https(常時SSL)に変更する方法
  14. https化の準備を行う
  15. SSLサーバー証明書を取得する
  16. SSLサーバー証明書をインストールする
  17. リンクの置き換え・リダイレクト設定
  18. https(常時SSL)に変更するならGMOグローバルサイン
  19. まとめ

https(常時SSL)とは

httpsとは、「HyperText Transfer Protocol Secure(ハイパーテキスト・トランスファー・プロトコル・セキュア)」の略語で、暗号化通信(SSL)によってセキュリティを強化したhttpのことです。

ユーザーがブラウザを使用する場合、インターネットを通じてブラウザとサーバーの間でデータの送受信が行われます。この際、https(常時SSL)であればデータが暗号化されるため、第三者によって情報が改ざんされたり、盗聴されたりするリスクが軽減し、結果としてWebサイトの安全性が高まるのです。

Webサイトをhttps化すると、ブラウザのアドレスバーに鍵マークが表示されます。これは、通信が暗号化されていることを示しています。

httpとの違い

httpsとhttpの違いは、セキュリティの強度にあります。httpは「HyperText Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)」の略語で、ブラウザとサーバー間のデータの送受信で使用される基本的なプロトコル(仕組み)を意味します。

このhttpには、データを保護する機能がありません。これに対し、httpsは通信の安全性を保護するプロトコルであり、データの送受信が暗号化されているため、高いセキュリティ性能を発揮します。

【関連記事】httpとhttpsの違いとは|SSLサーバー証明書の確認方法や信頼できるサイトの見極め方

SSLとは

SSLとは、「Secure Sockets Layer(セキュア・ソケッツ・レイヤー)」の略語で、ネットワーク通信の安全性を確保するプロトコルのことです。

このSSLは1995年に、インターネット上のプライバシー、認証、データの整合性を確保する目的で開発されました。httpsの通信はSSLにより暗号化され、送受信されるデータの安全性が確保されます。

似たような言葉でTLS(Transport Layer Security)というものがあり、これはSSLの次世代規格として開発されたプロトコルです。SSLの課題であった脆弱性を解決しています。

httpsによる通信の仕組み

httpsによる通信は、データの保護と安全性の確保に重点を置いています。この通信は、以下の流れに沿って行われています。

  1. クライアントからサーバーにリクエストを送る
  2. クライアントが公開鍵付きサーバー証明書を受け取る
  3. クライアントが共通鍵を暗号化してサーバーに送る
  4. 共通鍵暗号方式で暗号化通信を行う

通信の仕組みを順番に見ていきましょう。

クライアントからサーバーにリクエストを送る

https通信はまず、クライアントからサーバーに「TLS接続」のリクエストを送ります。TLSは、通信を暗号化して認証するためのプロトコルです。

例えば、検索で表示されたURLをクリックしたり、URLを直接打ち込んだりすることで、サーバーにリクエストが送られます。

クライアントが公開鍵付きサーバー証明書を受け取る

リクエストがサーバーに送られると、公開鍵付きサーバー証明書がクライアントに届き、クライアントはそれを検討します。公開鍵付きサーバー証明書とは、Webサイトのドメイン名と公開鍵を含んだ証明書のことです。

この際、認証局で発行されたルート証明書(公開鍵証明書が信頼できるものと証明するもの)を使用します。このルート証明書は、ブラウザに標準搭載されています。

▼公開鍵とは
暗号化通信において、送信側から受信側への安全な通信を実現するときに使用するキーのこと。

クライアントが共通鍵を暗号化してサーバーに送る

公開鍵付きサーバー証明書の確認が完了すると、クライアントは公開鍵を使用して共通鍵を暗号化し、それをサーバーに送ります。公開鍵で暗号化された共通鍵は、サーバーが保持する秘密鍵でのみ復号化できます。

復号化とは、誰でも読める状態にすることです。したがって、送受信者以外が情報を解読することはできず、安全にデータの通信を行うことができるのです。

▼秘密鍵とは
暗号化と復号化の仕組みで使用されるプライベートキーのこと。公開鍵で暗号化されたデータを復号したり、データを電子署名したりする際に利用される。

共通鍵暗号方式で暗号化通信を行う

共通鍵をクライアントとサーバーがそれぞれ所有できたら、共通鍵暗号方式で暗号化通信が行われます。共通鍵暗号方式は同一の鍵を使用して通信するため、公開鍵暗号方式よりも暗号化と復号化が高速で実施されます。これにより、通信のパフォーマンスが向上し、安全性が確保されるのです。

【関連記事】HTTPSプロトコルはなぜ必要?HTTP・SSLとの違いや通信の仕組みを解説

https(常時SSL)に変更すべき理由

URLをhttpsにすることで多くのメリットが見込めるため、多くのWebサイトがhttps化しています。httpsに変更すべき主な理由は以下の通りです。

  1. データの盗聴・改ざんを防げる
  2. 第三者のなりすましを防げる
  3. Webサイトが高速化する

それぞれの理由を順番に見ていきましょう。

データの盗聴・改ざんを防げる

URLをhttpsに変更することで、第三者によるデータの盗聴や改ざんを防げます。Cookieも含めてデータ通信が暗号化されるため、第三者から情報を読み取られにくくなるのです。

したがって、ユーザーが登録などで個人情報やクレジットカード情報を入力しても、その情報がインターネット上で露出したり、改ざんされたりするリスクは非常に低いと言えます。

このようにhttpsによるセキュアな通信は、ユーザーの情報を保護し、Webサイト全体の信頼性を高める効果があります。

第三者のなりすましを防げる

httpsによる通信は、第三者のなりすましに対して有効な対策にもなります。通常のhttp通信では、第三者が本物のWebサイトであるかのように振る舞い、訪問者の情報を騙し取るフィッシング詐欺などが可能です。

その点、httpsでは公開鍵付きサーバ証明書によりサーバーの身元を証明します。この証明書は信頼のある認証機関によって発行されるため、第三者が偽造することはほぼ不可能です。

そのためURLをhttpsに変更することで、第三者によるなりすましの被害を防ぐことができます。さらに、https化すればCookie情報が盗まれるリスクも減るため、第三者が本人になりすましてログインするといった攻撃も抑えられます。

【関連記事】サイバー攻撃とは?手口の種類や事例、最近の動向と対策を詳しく紹介

Webサイトが高速化する

https通信は「HTTP/2」というプロトコルをサポートしているため、Webサイトの高速化に貢献します。

▼HTTP/2とは?
サーバーとクライアントがデータを送受信するために使用するHTTPの改良版。

HTTP/2は、通信の高速化を実現するための技術です。複数のリクエストを並列的にやり取り可能であり、サーバーからクライアントに必要なリソースを先読みして送信するサーバプッシュといった機能も備えています。

これらの機能により、Webサイトのページの読み込み速度を大幅に向上させることが可能です。特に大規模なWebサイトや高負荷を伴うサービスであればあるほど、この高速化の効果は顕著に現れます。

https(常時SSL)に変更する方法

URLをhttpsに変更する方法は一見複雑なように思えますが、基本的な手順さえ理解できれば容易に進められます。具体的な流れとして、以下4つの手順を順番に解説します。

https化の準備を行う

まずは、https化の準備を行います。https化の準備は大きく、「サーバーがhttps化に対応しているのか確認する」「CSR(証明書署名要求)を作成する」の2点です。

全てのレンタルサーバーがhttpsに対応しているとは限らないため、事前にレンタルサーバーの利用規約を見て確認する必要があります。また、提供者に直接問い合わせるのも有効です。

CSRは、SSLサーバー証明書を発行するための署名要求であり、公開鍵の情報、組織名、所在地などが含まれます。秘密鍵はSSLサーバー証明書をインストールする際に必要になるため、CSR作成時に秘密鍵を安全な場所に保管しておきましょう。

SSLサーバー証明書を取得する

https化の準備が終わったら、SSLサーバー証明書を取得します。SSLサーバー証明書とは、Webサイトへの接続が安全であることを証明する電子証明書のことです。

SSLサーバー証明書には「共有SSL」と「独自SSL」があり、URLのhttps化では独自SSLを使用します。独自SSLは、Webサイトの所有者が取得した証明書を指します。

独自SSLには「ドメイン認証型(DV)」「企業認証型(OV)」「EV認証型」の3種類があり、認証の厳格度とコストはDV<OV<EVの順に高くなります。

【関連記事】SSLサーバー証明書とは?導入すべき理由と選び方を徹底解説

SSLサーバー証明書をインストールする

SSLサーバー証明書の取得後は、取得した証明書をサーバーにインストールします。証明書をインストールすることで、そのサイトにアクセスした訪問者のやり取りが暗号化されます。

インストールの手順はサーバーによって異なるため、各サーバーのマニュアルやヘルプページを参照しましょう。前述した通り、インストール時にはCSR作成時の秘密鍵が必要となります。

リンクの置き換え・リダイレクト設定

ここまでの手順でhttps化は完了していますが、その後はWebサイトの利便性を高めるために、以下の作業を行う必要があります。

▼証明書をインストールした後の必要作業

  • ソースコード内リンクをhttpsに置き換える
  • リダイレクト設定を行う

リンクの差し替えを行わないと、各ページに正常にアクセスすることができなくなります。ソースコード内リンクだけでなく、Webサイト内のリンクと外部リンクも対象です。

また、リダイレクト設定をすることで、httpの古いURLをブックマークしているユーザーや、古い外部リンクからアクセスするユーザーに対しても、新しいhttpsのページが表示されるようになります。

最後に、Webサイト全体のエラーを確認してhttps化は完了です。より詳しい手順やWordPressをhttps化する方法については、以下の記事をご確認ください。

【関連記事】URLを「https」に変更するには?常時SSL化の手順を徹底解説

https(常時SSL)に変更するならGMOグローバルサイン

画像引用元:GMOグローバルサイン

これからWebサイトのURLをhttpsに変更する方は、「GMOグローバルサイン」の利用を検討してみてください。本サービスは、国内シェア・認知度No.1のSSL 電子署名・クライアント認証サービスです。

1,670万枚以上の発行実績を活かして、利用者の状況に適したSSLサーバー証明書をご提案いたします。国内トップクラスのカスタマーサポートも備わっているため、初めて証明書を発行する方や、httpsの変更に不安を感じる方にもおすすめです。

▼GMOグローバルサインの強み

  • 国産ブランドの充実のサポート体制
  • 世界のニーズに応えた信頼性の高い電子証明書・電子認証サービスを提供
  • 日本国内において、業界・業種・企業の規模問わず豊富な実績あり

本サービスでは、信頼度が高く安心できるSSLサーバー証明書を発行いたします。安全かつ効率的なWebサイト運営のために、ぜひ「GMOグローバルサイン」の利用をご検討ください。

まとめ

本記事では、httpsによる通信の仕組み、httpsに変更すべき理由、具体的な変更方法を解説しました。

httpsによる通信は、データの保護と安全性の確保に重点を置いています。Webサイトの安全性を高め、サイト利用者に安心感を与えるためには、httpsへの変更が不可欠です。

URLをhttpsに変更する方法は、基本的な手順さえ押さえればそこまで難しくありません。まだWebサイトのSSL化が済んでいない方は、早めの変更をご検討ください。

なお、「GMOグローバルサイン」はWebサイトのhttps化を全面的にサポートしています。信頼度の高いSSLサーバー証明書を発行しているため、「セキュリティを強化したい」「信頼性のある証明書を取得したい」という方におすすめです。

文責:GMOインターネットグループ株式会社