HTTPS

インターネットをしていると、ブラウザのURLの先頭に httpが表示されます。これは、パソコンとWebサーバーの間の通信で使われる プロトコルを指しています。

しかし、近年は httpではなく httpsで始まるアドレスに移行しつつあります。

このページでは、今後主流となる httpsについて解説しています。

httpsは、HTTP over SSL/TLSの略です。httpで SSL/TLS通信が行われていることを指します。

SSLやTLSというプロトコルで、ブラウザとWebサーバー間を暗号化して通信しています。逆にいうならば、httpは 暗号化されていない、十分に安全な通信とは言い難いところがあるということです。

そのため、ドメインによってはホームページの全体を httpで構成し、セキュリティを重視するページ、例えば IDやパスワード入力画面、企業の問い合わせフォームなど個人情報を入力したりするページでは、httpsを使うということをします。

例：グーグルクローム、gooのログイン画面。

プロバイダやネットバンクのログイン画面、企業の資料問い合わせページなど、個人情報の入力が求められるページでは、必ずといっていいほど httpsが使われています。

どのブラウザも、httpsの通信の際は、URLがhttpsで始まり 鍵のマークと証明書が付いています。

鍵マークをクリックすると、サイト証明書を見ることができます。

個人情報を入力するページというのは、

• httpsから始まるURL
• 鍵マーク（暗号化通信）が付いている
• サイト証明書が発行されている

というのが一般的です。証明書は公開鍵基盤 PKIという技術が使われています。

ログインしたりクレジットカードなど個人情報を入力したりするサイトでは、URLを簡単にでも確認する習慣をつけたほうがよいといえます。

これは、フィッシングサイト対策・なりすましサイト対策にもなります。

フィッシングサイトやなりすましサイトでは、すべてとは断定できませんが、URLがhttpsから始まっていない、暗号化通信されていない、サイト証明書が発行されていないということがほとんどを占めているといわれています。

そして、一般的なホームページであっても 個人情報の入力画面やログイン画面で httpsから始まっていないなら、盗聴・改竄のリスクがあるということになります。

従来のhttpは、ユーザーにとって十分に安全であるとは言い難い、盗聴や改竄のリスクがあると指摘されています。

それでは、このような状態をそのままにしておいてよいのか？というとそういうわけではありません。

まず、検索エンジンであるGoolgeを中心に、Yahooやbingは、いち早くhttpsを導入しています。

そして、httpsへの移行を促しています。

特にGoogleは、Webサイトが httpsに対応しているかどうかを検索アルゴリズムの要素に加えています。つまりWebサイト保有者に対して、動機付け インセンティブを与えることにより、httpsへの移行を進めています。

これは、今までのように個人情報を入力する特定のページだけを、httpsにするというのではなく、すべてのページを https、セキュアな通信である常時SSLにすべきであるというものです。

十分に安全であるとは言い難いものから、安全であるものに変わっていくというのは、自然な流れです。

今後は、常時SSLの時代になるといっても過言ではありません。

httpからhttpsへの移行は、特にWebサイトを保有している企業や事業所が考えなければならない項目のひとつです。

近年は、セキュリティやインシデントに関する報道も増えてきており、一般ユーザーのセキュリティへの意識は高まりつつあります。

このような状況の中で、個人情報を入力するようなページ、問い合わせページ、会員登録のページなどがhttpの場合は、ユーザーがWebサイトを訪問し興味や関心を抱いていたとしても、ページへの入力や問い合わせを敬遠するということもあります。すなわち、訪問者が見込み客に転換する コンバージョンを低下させるということです。

今後、全ページのhttpsである 常時SSLが一般化すると、影響がWebサイト全体に及び、離脱率を高めたりする要因のひとつとなる可能性もあります。

httpからhttpsへの移行は、主にWebサーバーの設定で行います。現在所有しているドメインや、ページを公開しているサーバーの契約先などを明らかにし、サーバーのhttpsへの対応状況を確認するというのが一般的です。