Googleがウェブブラウザー「Chrome」(クローム)で、「httpサイト」へ接続した際、安全性に関して警告を出すという仕様に変更した。グーグルは「https」サイトを推奨しているわけだが、両者にはどういう違いがあるのだろうか?
httpとhttpsはWebサイトを見るための決まりごと
Webサイトを閲覧する際、ブラウザーの上部に入力するhttpは、「Hyper Text Transfer Protocol」の略であり、Webページの上で構成されているテキストや画像を、サーバとそれを閲覧するためのブラウザとの間でやりとりするための決まりごと(プロトコル)である。
httpのほかにも、ftpやlocal、mailtoなどを入力すると、それぞれFTP(ファイル転送)やローカルファイルの表示、メール送信などが可能となる。
httpの後ろにsが付くと、それはSecure(安全)を意味している。httpsは「Hyper Text Transfer Protocol Secure」または「Hyper Text Transfer Protocol over SSL/TLS」の略であり、そのどちらでも「やりとりされる情報を暗号化する」という意味になる。
SSL/TLSで暗号化 「s」がないと危険!
SSL(Secure Socket Layer)は暗号化のシステムであり、現在使われているブラウザでは標準で使うことができる。httpは汎用性が高い反面、サーバとブラウザ間の通信はまったくの平文であり、途中で通信内容を解析してやり取りされた情報を簡単に盗み出すことができる。
SSLは、データを送信する際に内容を暗号化し、通信途中での解析を難しくする仕組みである。送信元と送信先で「この通信は暗号化して送る」と決めて、やり取りされるデータを暗号化する。TLS(Transport Layer Security)はSSLと同じ技術を使ったものであり、SSLが1995年に開発されてバージョンアップを重ね、4.0になった段階でTLSと改称される。そのため名称に混乱が生じているため、SSL/TLSと表記されるようになった。
httpsはSSL/TLSで暗号化された通信を行う事を意味する
httpsでは、サーバ側に暗号化の準備がしてある場合、ブラウザとサーバ間の通信が暗号化されて安全な通信を行える。
Webサイトの閲覧、たとえばニュースを読む、画像を閲覧する、動画を再生するなどの場合、単純にコンテンツを閲覧するだけなら、通信内容は特に暗号化する必要はない。
そもそもインターネットを介して全世界のユーザに見てもらうために公開しているコンテンツであれば、内容を暗号化してもあまり意味がない。もちろんどこにアクセスしているかなどのプライバシーの観点からの問題はあるが、そういった場合は暗号化技術ではなく、匿名化による接続(プロキシサーバを通した通信など)の話となる。
問題は、ブラウザーを使って情報を入力する場合である。インターネットバンキングやショッピング、各種申し込みや問い合わせなど、クレジットカード情報や住所などの個人情報を入力する際、それが例えば暗号化されていない「平文」のhttpの場合は、通信内容が途中で解析される危険性は非常に高く、リスクは計り知れない。
これを防ぐ暗号化通信を使用するためのhttpsであり、現在のブラウザーでは自分が今httpsサイトに繋いでいるかどうかを、アドレス表示部分にグリーンのマークや鍵のマークを表示することにより簡単に知ることができるようになっている。
Googleによる検索順位にも影響が?
冒頭に紹介したChromeの新機能はこれを一歩進めて、「クレジットカードのような入力を行うページがhttpsでは無い場合、一律警告を出す」というものであり、最終的には「httpsでは無いページに接続した場合には、すべて警告を出す」という計画を持っている。
これは二つの面で注目すべき計画だ。一つは安全性への考え方の変化、もう一つは検索エンジンに対する影響である。
安全性への考えの変化とは、平文で通信していても特に問題は無いと考えられているウェブサイトへの接続さえも警告を促すというものであり、少々おせっかいな部分も無きにしもあらず……である。ただし安全性を考慮した場合は用心するに越したことはないため、必ずしも不必要な機能とは言えない。
二つ目の検索エンジンへの影響は見落とされがちだが、企業にとっては大きな問題だ。Googleは2014年8月に検索順位を決めるアルゴリズムとしてhttpsを利用するとアナウンスしており、現在は経過措置期間とされている。
つまり近い将来、httpでしかサイトを構築していないウェブページは、検索結果として表示されないか、かなり下位に追いやられてしまう可能性がある。現在は必要最低限のページ(フォーム入力など)のみSSL化しているページが多いが、企業としては適切なタイミングでウェブページ全体のSSL化を考える必要があるだろう。
しかしユーザにとっては安全性が増すため、インターネットの世界全体から考えれば好ましい動きと言える。(信濃兼好、メガリスITアライアンス ITコンサルタント)
