ITパスポート|ネットワーク
HTTPSとHTTPの違いとは?SSL/TLS・暗号化・証明書の仕組みを解説
ITパスポート対策 / 読了:約4分
HTTPとHTTPSの違い
HTTP(HyperText Transfer Protocol)はWebブラウザとWebサーバーの間でデータをやり取りするためのプロトコル(通信規則)です。HTTPSの「S」はSecure(安全)を意味し、通信が暗号化されています。
ポイント:HTTPは通信が暗号化されていないため、途中で盗み見られる(盗聴)と内容がそのままわかります。HTTPSは暗号化されているため、盗聴されても解読できません。
ブラウザでの確認方法
アドレスバーの「🔒(鍵マーク)」はHTTPSで通信していることを示します。HTTPのサイトでは「保護されていない通信」と表示されることがあります。
SSL/TLSとは
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、通信を暗号化するためのプロトコルです。現在はSSLの後継であるTLSが使われていますが、慣習的に「SSL」と呼ばれることが多いです。
TLSハンドシェイクの流れ(概略)
- クライアント(ブラウザ)がサーバーに接続要求を送る
- サーバーがデジタル証明書を送る
- クライアントが証明書を検証し、公開鍵を取得する
- 共通鍵を作成し、公開鍵で暗号化してサーバーに送る
- 以降、共通鍵で通信を暗号化する
デジタル証明書とは
デジタル証明書(SSL/TLS証明書)は、そのWebサイトが本物であることを証明するものです。認証局(CA:Certificate Authority)と呼ばれる信頼できる第三者機関が発行します。
証明書の種類
- DV証明書:ドメインの所有確認のみ。個人・小規模サイト向け
- OV証明書:ドメイン所有+組織実在確認。一般企業向け
- EV証明書:最も厳格な審査。銀行・大企業向け
公開鍵暗号と共通鍵暗号
- 公開鍵暗号:暗号化と復号に異なる鍵を使う。鍵の配布が安全だが処理が重い
- 共通鍵暗号:同じ鍵で暗号化・復号。処理が速いが鍵の配布が難しい
- TLSの実際:最初の鍵交換に公開鍵暗号を使い、以降は共通鍵暗号で通信する(ハイブリッド方式)
よくある間違いとひっかけ
❌ 「HTTPSなら必ず安全なサイト」は誤り
HTTPSは「通信が暗号化されている」ことを保証しますが、「サイトの内容が安全・正当」であることを保証しません。フィッシングサイトでもHTTPS証明書を取得できます。
❌ 「SSLとTLSは別物」はITパスポートの文脈では注意が必要
正確にはSSLは旧バージョンで現在は使用されておらず、TLSが後継です。しかし試験や業界では慣習的に「SSL」という言葉が使われ続けています。「SSL/TLS」と表記されることが多いです。
まとめ
- HTTPは暗号化なし、HTTPSはSSL/TLSで暗号化されている
- TLSは公開鍵と共通鍵を組み合わせたハイブリッド暗号化
- デジタル証明書は認証局が発行するサイトの「身分証」
- HTTPSでもフィッシングサイトである可能性は排除できない
- 現在はSSLではなくTLSが実際に使われているが「SSL」と呼ばれる
知識をクイズで確認しよう!
🏆 資格試験対策クイズに挑戦 →