「http」と「https」の最大の違いは、一言でいうと「通信が暗号化されているかどうか(セキュリティの強さ)」です。
末尾についた「s」は、Secure(セキュア:安全な)の頭文字です。
どちらも通信の「約束事」
http、httpsどちらも HyperText Transfer Protocol(ハイパーテキスト・トランスファー・プロトコル)の略で、Webブラウザとサーバーの間でデータをやり取りするための共通ルールです。
3つの違い
| 特徴 | http | https |
|---|---|---|
| セキュリティ | 通信内容が丸見え(平文) | 通信内容を暗号化 |
| 信頼性 | 偽サイトの可能性がある | 「証明書」で本物だと保証される |
| ブラウザの表示 | 「保護されていない通信」と警告 | 鍵マーク(南京錠)などが表示される |
なぜ「s」がつくと安全なの?
- 1.盗聴を防ぐ(暗号化)
-
httpの場合、入力したパスワードやクレジットカード番号は平文で「裸のまま」ネットを流れます。
もし悪意のある人に覗かれたら、そのまま中身を読まれてしまいます。
httpsは、データを暗号(一定の規則にしたがって他の表現に変えたもの)にして送るため、途中で盗み見られても内容を解読できません。
- 2.改ざんを防ぐ
-
送っている途中でデータが書き換えられていないかチェックする仕組みがあります。
- 3.なりすましを防ぐ(SSL証明書)
-
httpsのサイトには「SSL証明書」というデジタルな身分証が発行されています。
これにより、「このサイトは間違いなくGoogle(あるいは銀行など)の公式サイトですよ」と第3者が保証してくれます。
今は「https」が当たり前
以前は「お買い物ページやログイン画面だけhttps」というのが一般的でしたが、現在は「常時HTTPS化」が推奨されています。
- Googleの評価
-
https化されていないサイトは、検索結果の順位が下がることがあります。
- 警告表示
-
現在の主要なブラウザ(ChromeやSafariなど)では、httpのサイトを開くと「保護されていない通信」と警告が出るようになっています。
公衆Wi-Fi(カフェや駅の無料Wi-Fi)を使うときは、注意が必要です。
httpのサイトで大事な情報を入力すると、同じWi-Fiを使っている他人に中身を盗まれるリスクがあります。
httpsであれば、すべて安全?
httpsのおかげで、Webブラウザとサーバーの間の通信路は暗号化されているので、この通信路を通る情報は安全です。
しかし、すべてが安全かと言うとそうではなく、httpsの守備範囲である通信路以外は別問題です。
通信路のほかに考える必要があるのは、例えば、サーバーですね。
悪い人が運営しているサーバーもhttpsを利用しているので、そこにあるウィルスなどにアクセスしてしまうと「暗号化された通信路を通って安全に」入手できてしまいます。
つまり、httpからhttpsにすることは、安全策の1つにすぎない、ということです。