インターネットのウェブサイトのアドレスを見ると、「http」や「https」と記載されているのがわかります。
この二つの違いは何を意味しているのか、また、なぜこのような表記が必要なのか。

本記事では、httpとhttpsの違いや、それぞれの用途、メリット、デメリットについて解説していきます。

httpとhttpsの最大の違い　暗号化の有無

httpとhttpsの違いは、「通信が暗号化されているかどうか」にあります。

httpは通信内容が暗号化されていないので、第三者に情報を盗みみられる可能性があり、通信内容の安全性に不安が残ります。

対してhttpsは、httpにSSL/TLSという暗号化の技術を組み合わせたものです。
そのため第三者から情報を盗み見られるリスクが低くなり、安全性の高い通信をすることができます。

SSL/TLSとは

SSL（Secure Sockets Layer）とTLS（Transport Layer Security）は、どちらもインターネット通信を暗号化する技術です。

SSLは最初に開発された通信の暗号化の仕組みで、TLSはSSLの後継バージョンでありSSLより高速化と安全性が見直された技術です。
SSLもTLSも、主な目的や方法は同じです。

通信の流れ

ユーザー（通信者）がサイトにアクセスすると、サーバー（受信者）が公開鍵と証明書を返します。
この証明書は認証局により発行されたもので、サイトの運営者や実在性が確認されたうえで提供されるものです。

ユーザーはブラウザの証明書を検証します。ここで認証局の情報の確認が入り、信頼できると判断されれば、共通鍵を使って暗号化通信が始まります。

つまり、SSL/TLSを使ったhttpsは、認証局という信頼できる仲介者が通信の間に入るため、インターネット通信の安全性を担保する通信方法になります。

セキュリティが重要視されるようになった背景

インターネットができた初期の頃は、セキュリティへの配慮がほとんどありませんでした。
初期のインターネットでは主に大学や研究機関が使用しており、利用する人や目的が限られていたため、大きな問題にはなりませんでした。

しかし、1990年代頃から商用のWebサイトや、家庭でのインターネットの普及により、不特定多数の人がインターネットに接続するようになり、セキュリティが重要視され始めました。

なぜ「http」や「https」がつくのか

WebサイトのURLの先頭に「http」や「https」をつける理由は、どんな通信ルールでサーバーとどう通信すべきかを指示するためです。

この指定がされていないと、ブラウザが正しい通信方法を判断することができずに、ページが表示されなくなってしまいます。

httpのメリット・デメリット

「http」と「https」は、暗号化されていないかされているかどうかの違いでした。
httpの具体的なメリットとデメリットを解説します。

メリット②安価

httpでは証明書の発行が不要なため、サーバーを構築するだけで通信が行えるようになります。
そのため、安価に導入することができます。

デメリット①セキュリティ面での問題

httpでは通信内容が暗号化されていません。

そのため、通信の内容を見るとパスワードやメールアドレスなどの個人情報を見ることができてしまうことや、第三者からの攻撃で通信途中でデータが改ざんされるリスクもあり、セキュリティに問題を抱えています。

デメリット②ブラウザの警告表示

現在、Googleなどの主なブラウザでは、httpのWebサイトに警告が表示されることがあります。
アクセスした際に表示されることがあり、特にログインや入力フォームなどがあるページでは強く警告表示されるため、ユーザー（通信者)が不信感を抱く可能性があり、ユーザー離脱を招く原因にもなります。

httpsのメリット・デメリット

メリット②アクセス数の増加

Googleは2014年に、httpsのサイトを検索順位を決める評価の一つとすると公表しています。

検索順位とは、GoogleやYahooなどで調べ物をする際に表示されるWebページの順番のことで、順番が上位になればアクセス数が増える可能性が高くなります。

デメリット①手間がかかる

httpsにするSSL/TLS証明書を用意し、サーバーに設定する必要があります。

証明書を発行するには認証局に申請し、発行してもらう必要があるため、httpに比べ手間がかかってしまいます。

また、証明書には有効期限があるため、定期的な更新作業が必要になってしまいます。

デメリット②費用が掛かってしまう

証明書を用意するためには、年間費用が掛かってしまいます。無料で証明書を発行できるものもありますが、信頼性が低いことや、有効期限が短いため更新作業に手間がかかってしまいます（有料の多くは約13か月、無料の多くは90日）。

証明書の費用はDV認証、OV認証、EV認証といった認証レベルによって異なります。

認証レベルの違いについて

DV認証（ドメイン認証）

DV認証は証明書の中で最も基本的なものです。そのため、発行が早くコストがかかりません。

この認証レベルでは、使用している人物や組織のドメイン所有権だけを確認して、証明書を発行します。
所有権のみを確認しているため、だれが所有しているかまではわかりません。

費用は年間数千円で導入でき、個人のブログや社内システム、開発用などではこのドメイン認証が適しているといえます。
ただし、所有権のみを確認していることから、実在している企業かどうかまでは確認していないため、なりすましや高い信頼性を求めるサイトには不向きです。

OV認証（企業認証）

OV認証は、DV認証に加え、申請者や運営している企業、組織が法的に実在していることを確認します。
認証局が公的機関や信用調査機関（国税庁や帝国データバンク）を使い、第三者の情報源をもとに認証する方式です。

証明書には、ドメイン所有権だけでなく企業名や所在地が含まれます。
ユーザーは証明書を確認することで、サイトの運営者が実在する企業であることを把握できるようになっています。

OV認証は、企業の情報を発信するコーポレートサイトや、ログインやお問い合わせフォームがある一般的な企業サイトに適しています。

企業の実在確認などが必要なため、DV認証よりは高くなってしまいますが、年間数万円で導入できるため、セキュリティと信頼性のバランスが取れた認証です。

EV認証（拡張認証）

EV認証は、SSL/TLS証明書の中で最も厳しい審査が行われる認証方式です。
認証局は、ドメインの所有者が実在する企業であることに加え、運営体制、責任者の身元、法人登録情報などを世界標準の認証ガイドラインに基づいて細かく審査します。

EV認証の証明書を使っているサイトでは、ブラウザのアドレスバーに色付きで企業名が表示されるなど、特別な表現もありました（現在は非表示になるケースもあります）。

この証明書は、金融機関やネットショッピングサイト、大企業の公式サイトなどのブランドの信頼性が問われる重要な場面で活用されます。
費用は10万円以上になることが多く、厳しい審査が行われるため、発行までに約1〜2週間程度かかります。

httpが使われる場面

現在、日本では約95%がhttps経由でWebサイトが読み込まれていますが、httpも完全に消えたわけではありません。
主に以下のような場面で使われています。

ただし、これらも徐々にhttpsに移行している傾向にあります。
現在ではhttpsでも高速通信が可能になっており、セキュリティ対策もできるようになったため、httpのみで運用するのは推奨されていません。

個人の学習や開発環境

ローカルでの学習やテスト、開発中のWebアプリといった動作環境やスピードを重視した環境で、httpは現在でも使われています。

社内環境

インターネットに公開されていない社内での専用ツールや管理画面などの、通信先が限定されている環境ローカルでの学習やテスト、開発中のWebアプリといった動作環境やスピードを重視した環境で、httpは現在でも使われています。

一時的なテストサイト

製品の試作版や確認用などの短期間の利用を目的とした、手間やコストをかけずに動作させたい場合にも、httpが使われています。

まとめ

httpとhttpsの主な違いは、「通信内容が暗号化されているかどうか」です。
httpsは情報を安全にやり取りするための通信方式であり、現在ではほぼすべてのウェブサイトで利用が推奨されています。

「http」と「https」という表記は単なる記号ではなく、どの通信方法を使うかを明示する大切な情報です。
インターネットを安全かつ快適に利用するためにも、この違いを理解しておくことは重要です。