BLOOM journal

httpとhttps(SSL)の違いは、直球と魔球くらい違う

投稿日:2015年07月15日
Webの知識

  • このエントリーをはてなブックマークに追加

どうもーブルームプロモーションの高橋です。

以前の記事 「httpとは、WEBページを呼び出す呪文です。」では、「httpは異世界とやりとりするための呪文」であるとファンタジックにお伝えしました。(下記の画像からリンクします。未読の方はまずこちらから!)httpという呪文

今回は、httpに似ているhttpsについてお伝えします。

httpsは、httpにセキュリティ機能を追加したもので、Webページとの通信を暗号化したものです。

大手企業の個人情報漏洩に関するニュースも記憶に新しいですが、Webページでは特に「フォームなどで入力してもらった個人情報を不正アクセスから守ること」が重要です。

httpsは、大事な個人情報を渡すユーザーとしても、個人情報を受け取るサイト運営者としても、理解するべき大切な仕組みです。

WEB入門編ですが、おさえておきましょう。

httpsイラスト

httpは直球すぎて危険

「http」はWWWという異世界から、見たいWEBページを呼び出すための通信形式です。

私たちはhttpを使ってWWWと情報のキャッチボールを繰り返し、ブラウザを通して次々に違うページを見ています。

しかしこの「httpキャッチボール」には大きな欠点があります。

それはhttpを使って投げる玉はあまりにも直球ということです。

このまっすぐなボール(情報)は丸見えなため、ちょっと特訓した人には内容を解読することが可能なのです。

普通のWEBページを見るだけならまだしも、会員専用サイトのログイン情報や個人情報、クレジットカードを入力する場合、第三者から解読の可能性があるのは大問題です。

その解読を防ぐために生まれたスキーム(形式)がhttpsです。

httpという直球を、魔球に変えるhttps!

httpsは「HTTP over SSL/TLS」の略です。httpsのsはSecure(セキュア)の「S」とだけ覚えておいてください。セキュアとは「安全な」とか「危険のない」という意味です。

ちなみに日常でもよく耳にする「セキュリティ」はセキュアの名詞形です。

httpsがどう安全なのか?というと、ブラウザと異世界(www)とのバカ正直なキャッチボールを暗号化し、第三者から見ると意味不明な、なにがなんだかわからない玉を投げている状態へ変えます。

つまり、丸見えの直球を大リーグボールのような魔球へと変化させ、解読させない形式がhttpsな訳です。

 Webサイトを使う側、ユーザーとしての確認方法。

今行っている、または行おうとしているWeb上のやりとりが、直球なのか魔球なのかは、URLを見るだけですぐにわかります。

ブラウザ上部にあるアドレスバーでURLの始まりが「https」ならOK!魔球です。

ブルームhttps

とくに注意が必要なのは、個人情報の入力を求められるお問い合わせフォームや、購入をするためクレジットカード番号の入力画面です。
httpsではないページでは(くっ、これから投げる玉は直球か…)と簡単に打たれる可能性があることを覚えておきましょう。

みんな大好きFacebookやツイッターには全てのページについています。一番左に鍵のマークがありその横に緑色でhttpsとなっていますね。
SNSはログインをしなければ使うことができないので安心ですね。

https_Facebook

https_twitter

 Webサイトを運営する側としての考え方。

わたしたちがユーザーの立場の場合、個人情報の入力ページくらいは「Sにしてよー、魔球にしてよー。」と思うのは当然ですが、あなたがサイトを運営する側だった場合はどうでしょうか?

セキュアしてますか?

多少予算のかかることです(価格は4,5千円〜10万円以上とピンキリ)が、入力を求めるような特定のページをhttpsにすることは、「私たちはお客さまの情報を保護しようとするタイプです!」という姿勢を見せるためにもこのご時世、必須項目と言っても過言じゃないでしょう。

実際にユーザーへのおもてなしのひとつだと思います。

httpsは検索順位にも影響します。

さらにGoogleはどう思っているか?とくに検索結果に影響するのか?という疑問は、この記事を読んでいる皆さんなら気になると思います。

以下は「Google フレンドリーなサイト制作・運営に関するウェブマスター向け公式情報」の記事ですが、タイトルからすでに思いっきり影響する素振りを見せていますね。

HTTPS をランキング シグナルに使用します
(以下引用)

『セキュリティは Google の最優先事項です。Google は、デフォルトで強力な HTTPS 暗号化を導入するなど、業界でも最先端のセキュリティを Google サービスに導入することに力を注いでいます。』

− 「俺らGoogleはかなり導入してるよ」と言っています。続いて −

『このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPS は、優れたユーザー エクスペリエンスを生み出す多くの要素のうちの 1 つです。

今後、より多くのウェブサイトで HTTPS が使用されることを期待しています。ウェブの安全性をさらに強化しましょう。』

− 「今のところランキングへの影響はあんまりないけど、今後はやっていくよ」とはっきり言ってます −

Googleはユーザーの使い勝手を重要視し、WEB上をより安全にするべきと考えています。WEBが危険な場所だとしたら、ユーザーはWEBを使わなくなるからです。WEBを使わなくなれば、Googleの利用する人も当然減ってしまいます。

このブルームジャーナルでも何度も伝えています(SEO(検索エンジン最適化)とは「ユーザーの利便性を追求する」こと)ので、これまでの記事を読んでる方には理解できる話しですね。

最後に

WEBサイトに入ったときに、アドレスバーの「URLを見るようになる」ことは、おしゃれさんが服の品質表示タグを見るように、しっかりものの奥様がスーパーで食品の内容表示を見るように、Webの世界においても、大人の階段を登り始めた証です。

そんな風にURLを見る癖がつくと、URLの始まり方はhttpだけじゃない!ということはもちろん、「ここってそんなドメイン名なんだー」とか「あ、ブログは外部サービスを使ってるんだー、SEO的にもったいないなー」とか色々なことがわかってきます。

もし、まだ問い合わせフォームなどが直球の方は、httpsの導入を検討してみましょう。

まとめ

・httpは直球だから丸見え
・httpsは魔球だからなんだかわからない
・httpかhttpsかはURLを見れば簡単にわかる
・Googleは現在はそれほどじゃないけど今後はhttpsか否かで順位変えるつもり

ブルームジャーナル(このブログ)の新記事更新情報を知りたい方は、Facebookページへのいいね!お願いしまーす。

追記

追記2015/12/25

2015/12/18にGoogleのWEBマスター向け公式ブログの記事
HTTPS ページが優先的にインデックスに登録されるようになります

で、Googleは以下の通り明確に宣言しました。以下引用です。

昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受中間者攻撃、データ改ざんの対象となってはいけません。Google が「HTTPS everywhere」の推進に取り組んできたのはこのためです。

この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する HTTPS ページのクロールを開始します。

 

追記2016/12/28

2016/9/26に、Google Developers Japanブログ記事で
より安全なウェブを目指して で、以下の通りお知らせがありました。以下引用です。

2017 年 1 月(Chrome 56)より、パスワードやクレジット カードの情報を転送する HTTP サイトは安全でないことが明示されるようになります。これは、すべての HTTP サイトを安全でないものと明示する長期計画の一環です。

https未対応サイトでは、最後の最後で離脱される可能性も高まります。

今後さらに、HTTPSは重要になりますね!

  • このエントリーをはてなブックマークに追加