【図解で比較】HTTP vs HTTPS — 通信の安全性の違いを徹底解説

あの鍵マークは「HTTPS」で通信しているサイトに表示されるんだよ。HTTPSはHTTPに暗号化の仕組みを加えたもので、通信内容が第三者に読み取られないように保護されているんだ。

そのとおり。HTTPは通信データがそのまま「平文」で流れるから、途中で誰かが盗み見ると、パスワードやクレジットカード番号がそのまま見えてしまうんだ。手紙をハガキで送るか、封筒に入れて送るかの違いだと思えばわかりやすいね。

HTTPSではTLSという暗号化プロトコルを使っているんだ。通信を始める前に「TLSハンドシェイク」という手順があって、サーバーが「自分は本物ですよ」と証明書を見せて、ブラウザとサーバーの間で暗号化の鍵を安全に共有するんだよ。この鍵を使って、やり取りするデータを全部暗号化するんだ。

以前は有料のものが主流だったけど、今はLet's Encryptという無料の認証局があるから、個人サイトでも気軽にHTTPS化できるよ。レンタルサーバーやクラウドサービスでもワンクリックで設定できることが多いんだ。

本当だよ。Googleは2014年からHTTPSをランキングシグナルの一つにしていて、同じ内容のサイトならHTTPSのほうが検索順位で有利になるんだ。さらにChromeではHTTPサイトに「保護されていない通信」と警告が出るから、ユーザーの信頼にも関わるね。

昔は暗号化のオーバーヘッドが問題になることもあったけど、今はほとんど気にならないレベルだよ。むしろHTTP/2という高速な通信プロトコルはHTTPSが前提になっているから、HTTPS化したほうが速くなるケースも多いんだ。

HTTPSのページ内でHTTPの画像やスクリプトを読み込んでいると「混合コンテンツ」になるんだ。せっかく暗号化した通信の中に暗号化されていない部分が混ざると、そこが弱点になってしまう。全部のリソースをHTTPSに統一する必要があるよ。

現在の最新はTLS 1.3で、ハンドシェイクが1往復で済むようになって接続が速くなったんだ。古い脆弱な暗号スイートも廃止されて、セキュリティも大幅に強化されているよ。TLS 1.0や1.1は主要ブラウザでもう無効化されているんだ。

HSTSという仕組みを設定しておくと、ブラウザに「このサイトは常にHTTPSで接続してね」と記憶させられるんだ。これでHTTPにダウングレードされる攻撃を防げるよ。あとは証明書の透明性を担保するCertificate Transparencyという仕組みもあって、不正な証明書の発行を監視できるんだ。

そうだね。ゼロトラストでは社内ネットワークも信頼しないから、すべての通信をHTTPSで暗号化するのが基本なんだ。HTTPの時代はもう終わりで、今はHTTPSがウェブの標準だよ。個人サイトでも企業サイトでも、HTTPS化は必須と考えていいね。