第13回 HTTPとHTTPSの相違点
ウェブアドレスの先頭が「http://」から始まるものと「https://」から始まるものがあるが、違いについて気になったことはないだろうか。
今回はこの二つのURLの違いについてウェブセキュリティーの点とどのように関係してくるのか、またほかに注意すべき点について説明しよう。
http:// とは
HTTPとは「Hyper Text Transfer Protocol」が省略されたもの。具体的にはウェブページを表示するための通信のルールだ。HTTPの通信方式では、サーバーとブラウザ間でやり取りされる情報を、第三者が勝手に閲覧したり加筆したりすることができる仕組みになっている。そのためパスワードやクレジットカード番号など、盗まれて困るような情報を、HTTPのサイトに入力するのはとても危険である。
https:// とは
HTTPSの「S」は「Secure」の略称で、HTTPで やり取りされる情報が暗号化され、通信されている事を示す。ショッピングサイトや、オンラインバンキングなど、大切な個人データを扱うウェブサイトでは、ほとんどがHTTPSになっている。さらにHTTPSのページは、グーグルから優先的にインデックスに登録される上、通信が保護されていないHTTPのページに対し、クロームとファイアーフォックスでは警告が表示されるようになっているので、世界的にもHTTPS化が急速に進んでいる。
HTTPSのページは、ウェブブラウザのアドレスバーを確認すると、先頭に鍵マークが表示されていて、サイトの証明書が確認される。また、HTTPのウェブサイトをHTTPS化するには、SSL・TLS証明書を取得する必要が出てくる。それには通常、年間契約での費用が発生するが、無料のオープンソースソフトウエアを利用する事も可能だ( 例:「Let's Encrypt」www.letsencrypt.org)。
https:// だったら100%安全なのか?
問題なのは偽造ウェブサイトであっても、ドメイン名の所有者であれば、誰でも無償でSSL・TLS証明書を取得できることだ。悪意ある第三者は、「フィシング」という詐欺行為で、読み間違えやすいドメイン名を騙(かた)り、あたかも銀行や会員制ウェブサイトであるかのように装い、ユーザーのデータを獲得しようとする。
正しいURLであっても、公衆無線LAN利用の場合、「中間者攻撃(Man in the middle attack)」によって情報を傍受されることもある(詳細はNr.1051当コラム 第5回 無料Wi-Fiの安全性1を参照)。ウェブセキュリティーのために、データを入力をする前はしっかりURLを確認し、外出や出張などの出先からはVPNを使うように気を付けることが重要になる。