DigiCert証明書の正規代理店株式会社アールエムエス
DigiCert サーバー証明書利用団体
  1. ホーム
  2. HTTPS入門

HTTPS入門

Webサイトを作成する際には、入力フォームのページだけでなく、サイト全体をHTTPSにして信頼を獲得することが重要です。
クレジットカード情報や金融取引サイトではHTTPSの利用が当たり前になっています。それ以外でもパスワードを入力する必要があるWebサイトなどでHTTPSの採用が増えていますので、HTTPSに接することも多くなっていますが、インターネットを安心して利用するためには、本来はすべてのWebサイトがHTTPSを導入すべきです。
また、パスワードを入力するページなどの一部のページだけでなく、全ページでHTTPSを利用する必要があります。
「HTTPS入門」では、Webサイト全体をHTTPSにする場合の様々な留意点をご紹介します。

HTTPの危険性

Webといえば、http:// というようにHTTPプロトコルが広く使われていますが、HTTPプロトコルは傍受や改ざんからデータを保護することができず、盗聴、トラッキング、ユーザープライバシーの漏洩などの危険な要素があります。

HTTPSが必要な理由

Webサイトが信頼されるものでなければならないのは当たり前のことです。
サイトが信頼されるためには、以下のような保証が必要です。
しかし、従来からの標準のWeb接続プロトコルHTTPでは、こうした保証はありません。

  • Webサイトに表示されるデータが真正なものであるという保証
  • Webサイトの真の運営者はユーザーが想定している運営者であるという保証
  • Webサイト閲覧の履歴が第三者に知られないこと(プライバシーが保護されていること)
  • データ入力を受け付けるサイトの場合、入力したデータが盗聴されないこと

インターネット通信ではパケットという分割されたデータをネット上のサーバー(ルータ/スイッチ)がバケツリレーのように受け渡ししているため、経路上のサーバーでは常に盗聴が可能です。
経路上のサーバー(ルータ/スイッチ)は受け取ったデータをそのまま経路上の次のサーバー(ルータ/スイッチ)に渡すのが原則ですが、経路上に割り込み、受け取ったデータとは異なるデータを本物のように送り出す攻撃の手口もあります。これを中間者攻撃(MiTM : Man-in-the-Middle Attack)と呼びます。

memo中間者攻撃の手法

WebサーバーのLAN内で経路変更を行うARPスプーフィング、Wi-Fiで偽装アクセスポイントに誘導するChannel-based Man in the Middle、DNSのデータを書き換えるDNSスプーフィングなどが有名です。bettercapというツールも公開されています。

memo改ざんの事例

米国の大手ISP VerizonがX-UIDHというHTTPヘッダーを追加した件や、AT&T's Wi-Fiの件などが有名です。

こうした危険を防ぎ、安全なWebサイトを提供できるのが、HTTPSプロトコルです。
HTTPSとは、簡単に言うと、HTTPプロトコル上でTLSによって暗号化されたパケットを受け渡すプロトコルです。
ユーザーとWebサーバーの経路上のサーバーでは暗号化されたパケットを解読できないので、Webサイトの安全を確保することができます。

なぜ全ページHTTPSが必要か

Webサイトの一部だけをHTTPSにしている場合、HTTPページのユーザー閲覧履歴が傍受され、プライバシーが侵害される可能性があります。
Cookieが利用されている場合は、個人情報が窃取される可能性がより高まります。

こうした一部だけをHTTPSにしているサイトでは、HTTPページにHTTPSページへのリンクが記載されていますが、リンク元であるHTTPページは改ざんが可能なため、リンクが書き換えられ、不正なフィッシングサイトに誘導される可能性があります。
巧妙に偽装されたフィッシングサイトの場合、ユーザーが不正に気付くことは困難ですので、犯罪者は容易にクレジットカード情報などを盗み取ることができます。
全ページがHTTPSになっていれば、こうした危険が回避できます。

また、HTTPページには、不正なJavaScriptを挿入される可能性があります。
不正なスクリプトを埋め込まれてしまった場合、サイトにアクセスしたユーザーのマシンがウイルスに感染する恐れがあります。
もしそういった事態が起これば、Webサイトの運営者は信用を失うだけでなく、損害賠償を求められることもあります。
こうした事態を避け、Webサイトの安全性とユーザーからの信頼を得るためにも、Webサイト全ページのHTTPS化が不可欠です。

全ページHTTPSが標準に

インターネットに大きな影響力を持つ各種団体も全ページHTTPSを勧奨しています。
全ページHTTPSが標準になろうとしています。

  • W3CのTechnical Architecture Group
    Webプラットフォームは、安全な通信を積極的に優先するように設計する必要があります。通常、「http://」ではなく「https://」URLの使用を推奨します。
  • IETF RFC 7258
    蔓延する監視は攻撃だ。
  • Internet Architecture Board
    IABは現在、プロトコル設計者、開発者、および事業者にとって、暗号化をインターネットトラフィックの標準とすることが重要であると考えています。
    可能であれば暗号化を認証する必要がありますが、認証なしで機密性を提供するプロトコルさえも、RFC 7258で説明されている蔓延する監視防止にも役立ちます。
  • Mozilla Security Blog -- HTTPは安全でない
    2015年4月30日 本日、我々は安全上の理由から HTTP を段階的に廃止する意向を表明します。
  • The Chromium Projects -- HTTPに安全でないことを示すマークを表示します
    2017年1月(Chrome 56)以降、Chromeは段階的にHTTPに安全でないことを示すマークを表示します。
SSL サーバ証明書とは?
30日間テスト証明書
30日間返金保証制度あり!
コードサイニング証明書
ドキュメントサイニング証明書
デジタル証明書ニュース
HTTPS入門
digicert.comトピックス&ニュース