https
「https」とは
「https」は、ハイパーテキスト転送プロトコルセキュア(Hypertext Transfer Protocol Secure)の略称である。これは、ウェブブラウザとウェブサーバー間の通信を暗号化するためのプロトコルである。通常のHTTPと比較して、情報の盗聴や改ざんを防ぐためのセキュリティが強化されている。「https」の発音・読み方
「https」の発音は、IPA表記では /ˈeɪtʃtiːtiːpiːɛs/ となる。日本人が発音する際のカタカナ表現では「エイチティーティーピーエス」となる。「https」の定義を英語で解説
「https」 is an abbreviation for Hypertext Transfer Protocol Secure. It is a protocol used to encrypt communication between a web browser and a web server. Compared to regular HTTP, it has enhanced security to prevent eavesdropping and tampering of information.「https」の類語
「https」の類語としては、「SSL」(Secure Sockets Layer)や「TLS」(Transport Layer Security)がある。これらも同様に通信を暗号化するためのプロトコルである。「https」に関連する用語・表現
「https」に関連する用語としては、「HTTP」、「URL」、「SSL」、「TLS」、「暗号化」などがある。これらはウェブ通信やセキュリティに関連する用語である。「https」の例文
1.英語例文(日本語訳):The website uses https for secure communication.(そのウェブサイトは安全な通信のためにhttpsを使用している。)2.英語例文(日本語訳):Make sure the URL starts with https.(URLがhttpsで始まることを確認してください。)
3.英語例文(日本語訳):Https encrypts the data between the browser and the server.(httpsはブラウザとサーバー間のデータを暗号化する。)
4.英語例文(日本語訳):Https is a protocol for secure communication over a computer network.(httpsはコンピュータネットワーク上での安全な通信のためのプロトコルである。)
5.英語例文(日本語訳):Https uses SSL/TLS to provide encrypted communication.(httpsはSSL/TLSを使用して暗号化された通信を提供する。)
6.英語例文(日本語訳):Https provides a secure connection by encrypting the data.(httpsはデータを暗号化することで安全な接続を提供する。)
7.英語例文(日本語訳):Https is used to protect the integrity and confidentiality of data.(httpsはデータの完全性と機密性を保護するために使用される。)
8.英語例文(日本語訳):Https is essential for protecting sensitive information.(httpsは機密情報を保護するために不可欠である。)
9.英語例文(日本語訳):Https ensures that the communication between the browser and the server is secure.(httpsはブラウザとサーバー間の通信が安全であることを保証する。)
10.英語例文(日本語訳):Https is a key component of internet security.(httpsはインターネットセキュリティの重要な要素である。)
https
「https」とは、暗号化したhttp通信のことを意味する英語表現である。
「https」とは・「https」の意味
「https」とは、WebサーバとWebブラウザの間で情報をやりとりするためのプロトコル「http」を、「SSL/TLS」によって暗号化し、より安全に通信を行う仕組みのことを意味する言葉である。正式名称は「Hyper Text Transfer Protocol Secure」であり、呼び方は「ハイパーテキスト・トランスファー・プロトコル・セキュア」である。暗号化プロトコルは「SSL」と略されることもあるが、実際に用いられている技術は「TLS(Transport Layer Security)」である。これは、元々あった暗号化プロトコル名が「SSL」で、2014年10月に脆弱性が判明したことから「TLS」の開発と「TLS」への移行が推進され、「SSL」の使用が禁止されたという経緯によるものである。正式名称は「SSL/TLS」であり、略称・通称として「SSL」と呼ばれる。自身のWebサイトのurlを「http」から「https」にすることを、「https化」などという。認証局(CA)と呼ばれる機関から、「SSLサーバ証明書」を発行して貰い、サーバに適用することで「SSLサーバ証明書によって保証された安全なサイト」であることが保証される。「Let's Encrypt」(レッツ・エンクリプト)」などは無料であることに加えて、誰でも手軽に利用できるため、できるだけ早く対応することが推奨されている。その一方、信頼のできない機関が発行した証明書なども存在するため、ユーザーとしてWebサイトに接続する際は、「https」であっても注意が必要なこともある。
暗号化通信には複数の方式があるが、「https」で通信を行う際は、「共通鍵暗号方式」と「公開鍵暗号方式」の両方を取り入れた「ハイブリッド暗号方式」が取り入れられている。まず、ブラウザ側がWebサーバに対して通信の接続要求を行う。Webサーバは認証局から発行された「証明書」と「公開鍵」をブラウザ側に送信する。すると、ブラウザ側は証明書の階層をたどって「ルート証明書」と照合し、安全性が確認できたら、生成した「共通鍵」を「公開鍵」で暗号化してWebサーバ側に送り返す。Webサーバは元々の「公開鍵」に対応した「秘密鍵」で送られてきた「共通鍵」を複合化する。これにより、ブラウザとWebサーバの双方が専用の「共通鍵」を所有した状態になり、全て情報は「共通鍵」で暗号化されてやり取りが行われるようになる。この一連の処理は、ブラウザがサイトにアクセスをしてから、応答がある(ページが表示される)までの、僅かな間に対応している。
かつてはネットショッピングのカート機能のページのみなど、サイトの一部のみ「https」にしておくことがあったが、技術の進歩による高速化や、ユーザー側のセキュリティ意識向上などから、サイト全体を「https」にすることが一般的になっている。なお、「一部のみ」と「全体」の違いを表現するため、「常時https」や「常時SSL」と呼ばれることもある。
「https」の読み方
「https」の読み方は、「エイチティーティーピーエス」である。「https」の熟語・言い回し
https接続とは
「https接続」とは、SSL/TLSに対応した接続のことを意味する言葉である。WebブラウザがWebサイトにアクセスした際、「https接続」であるかを確認したい場合は、アドレスが「https://」で始まっているかどうかをチェックするか、ブラウザのURL欄に表示されるマークなどで確認ができる。また、「Google Chrome」などは「https接続」ではない場合に「Not Secure」と表示するなどして、ユーザーに危険性を知らせることもある。
Https通信とは
「https通信」とは、httpsのプロトコルに従って行われる通信を意味する言葉である。暗号化に使うプロトコル名に基づいて「SSL通信」ともいう。WebブラウザとWebサーバが情報をやり取りする際、情報を暗号化しているため、データの盗聴・改ざん・なりすましを防ぎ、安全性がより高くなる。インターネットバンキングやインターネットショッピングなど、クレジットカード情報を筆頭に、個人情報をやり取りする場合は、「https通信」であることが望ましいとされる。
エッチ‐ティー‐ティー‐ピー‐エス【HTTPS】
HTTPS
HTTPS
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2025/05/08 08:57 UTC 版)
|
| HTTP |
|---|
| 主要項目 |
| リクエストメソッド |
| ヘッダーフィールド |
|
| ステータスコード |
|
| 認証方式 |
| セキュリティホール |
|
| インターネットセキュリティ プロトコル |
|---|
| キーマネジメント |
|
| アプリケーション層 |
| DNS |
| インターネット層 |
HTTPS(Hypertext Transfer Protocol Secure)は、HTTP通信をより安全(セキュア)に行うためのURIスキームである。「HTTPS」はプロトコルではなく、SSL/TLSプロトコルなどによって提供されるセキュアな接続の上でのHTTP通信をさす。
概要
HTTP通信において認証や暗号化を行うために、ネットスケープコミュニケーションズによって開発された。当初、World Wide Web上での個人情報の送信や電子決済など、セキュリティが重要となる通信で使用されるようになった。その後、公衆無線LANの普及による中間者攻撃のリスクの増加[1]、PRISMによる大規模な盗聴、ネット検閲への対抗などを要因として、あらゆるHTTP通信をHTTPSに置き換える動きが活発になっている[2][3][4][5]。
HTTPSは、メッセージを平文のままで送受信する標準のHTTPと異なり、SSL/TLSやQUICといったプロトコルを用いて、サーバの認証・通信内容の暗号化・改竄検出などを行う。これによって、なりすまし・中間者攻撃・盗聴などの攻撃を防ぐことができる。HTTPSでは、ウェルノウンポート番号として443が使われる。
HTTPSによるセキュリティ保護の強度は、Webサーバやブラウザで用いられるSSL/TLSの実装の正確性や、使用する暗号アルゴリズムに依存する(TLSを参照)。
プロキシサーバを介してインターネットにアクセスする場合、HTTPSのSSL/TLS通信時にプロキシサーバをトンネリングする必要がある場合がある。その場合はCONNECTメソッドを使用する。
メリット/デメリット
HTTPSを利用するメリット・デメリットは、以下のとおりである。
メリット
- 通信が暗号化されるため、改竄、盗聴などの攻撃を防ぐことができる。通信の最適化も改竄の一種であるので、同様に防げる。
- HTTP/2やHTTP/3対応でブラウザ表示が高速化される。
- SEOに有利になる。検索エンジン最大手のGoogleがHTTPSの導入を推進するため、自社検索サービスにおいてHTTPSの使用するウェブサイトを優遇することを発表していることによる[6][7]。
デメリット
- 無料発行サービスを除き、導入に費用がかかる。
- SSL証明書を定期的(90日/一年など)に更新する必要がある。
- https非対応のツールや広告、ブログパーツなどが非表示になる(後述する混在コンテンツに該当するため)。
- 暗号化/復号が必要になるため、クライアントとサーバ共に負荷が上がる(ただし、前述のHTTP/2を併用することで負荷を表示速度で相殺できる場合もある)。
- 古いウェブブラウザから閲覧ができなくなる。
ウェブブラウザでの扱い
ウェブブラウザ(ユーザーエージェント)では、対象のURLがhttpsであるなど、セキュアな通信経路であることが明らかであるか否かで動作を変える場合がある。これに関わる規定として、W3CのSecure Contexts(安全なコンテキスト)[8]やMixed Content(混在コンテンツ・混合コンテンツ)[9][10]がある。
Secure Contextsでは、いくつかの条件を満たす場合に「安全なコンテキスト(secure context)である」とする規定がなされている。これを参照して、ウェブブラウザの提供する一部の機能では、安全なコンテキストであるか否かにより挙動が変化する。そのような機能の一覧が安全なコンテキストに制限されている機能 (MDN Web Docs)にある。
Mixed contentは、セキュアな経路で取得したコンテンツ内で、非セキュアなデータの取り扱いに関する規定である。たとえば、https URLのHTMLドキュメント内でhttp URLのJavaScriptの実行は阻止される。
通信に関する仕様
https URIスキームのURLを対象とする通信に使用されるプロトコルとして、以下が存在する。
- HTTP Over TLS
- HTTP/1.0、HTTP/1.1、HTTP/2のいずれかをTLS接続上で使用。
- HTTP/3
- HTTP/3は下位層としてQUICを使用するプロトコルであり、QUICにより暗号通信が行われる。
HTTPSの仕様が最初に標準化されたのはRFC 2818 HTTP Over TLSである。TLS上でのHTTP通信について、ホスト名の検証(証明書のサブジェクト代替名(subjectAltName)またはCommon Nameが接続しているURLのホスト名またはIPアドレスに合致することの判定)やhttps URIスキームなどの規定が明文化された。その後、HTTP本体に取り込まれ[11]、 RFC 9110となっている。また、以下のように各HTTPバージョンにも規定が移されている。
- TLS接続上でのHTTP/1.1通信は、HTTP/1.1の RFC 9112で規定されている(9.7. TLS Connection Initiation, 9.8. TLS Connection Closure)。
- TLS接続上でのHTTP/2通信は、HTTP/2の RFC 9113で規定されている(3.2. Starting HTTP/2 for "https" URIs)。
このほか、HTTPSには以下の仕様が関係している。
- X.509(PKIX)では、証明書に対する要件が規定されている。特にHTTPSに特有のものとして以下がある(
RFC 5280 4.2.1.12. Extended Key Usage)。
- サーバー証明書を表す拡張鍵用途: TLS WWWサーバー認証(OID 1.3.6.1.5.5.7.3.1)。
- クライアント証明書を表す拡張鍵用途: TLS WWWクライアント認証(OID 1.3.6.1.5.5.7.3.2)。
- Application-Layer Protocol Negotiationを用いる場合、プロトコルIDとしてhttp/1.1(
RFC 7301 6. IANA Considerations)またはh2(
RFC 7540 11.1. Registration of HTTP/2 Identification Strings)、h3(
RFC 9114 3.1. Discovering an HTTP/3 Endpoint)を使用する。
- RFCなどでプロトコルIDを登録する明示的な規定は存在しないものの、IANAの登録簿にはhttp/0.9とhttp/1.0も存在する[12]。
- HTTP/2では、TLSに対する追加の要件を課している。
- TLS 1.2未満の使用禁止と、TLS 1.2~1.3に対する要件: RFC 9113 9.2. Use of TLS Features
このほか、ウェブブラウザから公に信頼される証明書を発行する認証局に対する要求として、CA/ブラウザフォーラムがBaseline Requirements for the Issuance and Management of Publicly‐Trusted Certificatesを定めている[13]。
https通信の手順
- クライアントがhttpsサーバにTCP接続を行い、TLSハンドシェイクを開始する。または、HTTP/3の場合はQUICでのTLSハンドシェイクを開始する。
- (任意)この際、ALPNで使用するプロトコルのネゴシエーションを行う。http/1.1またはh2、h3を使用する。
- TLSハンドシェイク中にサーバーが提示した証明書の内容をもとに、クライアントはホスト名の検証を行う。これは RFC 9110 4.3.4. https Certificate Verificationに規定されている。
- 以降はTLS接続上のアプリケーションデータとしてHTTP通信を行う。または、HTTP/3の場合はQUICでのストリームとしてHTTP通信を行う。
- HTTPのバージョンはALPNで決定したものを使用する。
- TLSでALPNを使用していない場合は、HTTP/1.1またはHTTP/1.0を使用する。
情報の保護における誤解
 |
この節には独自研究が含まれているおそれがあります。
|
HTTPSを用いた保護に関するよくある誤解に、「HTTPSによる通信は入力した情報にかかわる全ての処理を完全に保護する」というものがある。HTTPSは名前の通りアプリケーションレイヤのHTTPを保護するプロトコルでありWebブラウザとWebサーバの間の通信を暗号化して、盗聴や改竄を防いでいるに過ぎず、IPsecのようなネットワークレイヤの保護を行うプロトコルではない。
情報を受け取ったサイトは、送信された情報のうち必要最小限のデータのみを安全に保管することが期待されるが、重要な個人情報がサイトのデータベースに格納されない保証はなく、さらにデータベースはしばしば外部からの攻撃の標的にされる。また、こうした情報が人為的に不当に流用されたり、事故によって漏洩する可能性もある[14]。
このように通信が完全に保護されていたとしても、利用者が期待する安全性が確保されているとは言えない場合がある。現在のインターネットでは、フィッシングがHTTPSで行われることも多い。[15]
統計
2016年から2017年にかけて、HTTPSのシェアが50%を超えたという複数の調査結果が明らかになっている[16][17]。
2017年末、66%のシェアという調査報告がされた[18]。
2018年末、httparchive.orgの調査によると、79.9%のトラフィックという調査報告がされた[19][20][21]。
検閲
HTTPS通信は暗号化されているため、通信内容を読み取ったり改竄したりすることはできない。そのため、基本的に通信内容を検閲することはできない。
HTTPSによる検閲対策に対抗する措置として、中華人民共和国では、暗号化技術の利用が許可制になっている[22]。また、ウィキペディアに不適切な記述を含むページがあり、ロシアがこれを検閲しようとしたが、ウィキペディアがHTTPSを用いているため問題のページ単体を検閲できず、ロシアがウィキペディア全体をブロックし、ロシア国内からウィキペディアを閲覧できなくなったこともあった[23]。2019年、韓国では有害サイトへのアクセスのブロックを開始し、HTTPS(TLS)において暗号化せずに送受信するSNIからドメイン名を読み取ってブロック対象を判定していると報じられている[24]。
類似のプロトコル
このほかに、TLS上でのHTTP通信に関するプロトコルが2つ存在する。いずれもURIスキームはhttpを用いる。
- RFC 2817 Upgrading to TLS Within HTTP/1.1は、HTTPのUpgradeヘッダーを用いることで、HTTPと同じTCP 80番ポートでHTTP over TLS通信を行う方式を規定している。HTTPにおけるSTARTTLSに相当する。
- RFC 8164 Opportunistic Security for HTTP/2は、http URLに対する通信における日和見暗号化を提供するものである。
その他
RFC 2660 が規定するS-HTTP(Secure HTTP: Secure HyperText Transfer Protocol)は、httpsスキームで用いられるHTTP over SSL/TLSとは別のプロトコルである。S-HTTPに対応するURIスキームはshttpである。
脚注
- ^ 國谷武史; ITmedia (2012年3月29日). “Webサイトに“常時SSL”の実装を――団体提唱の米国で機運高まる?”. ITmedia エンタープライズ. 2019年9月21日閲覧。 “Wi-Fiスポットが特に危険とされるのは、攻撃者が正規ユーザーのすぐ近くに身を潜めて通信を傍受できてしまう可能性が高いため。”
- ^ 鈴木聖子; ITmedia (2014年12月16日). “HTTP接続は「安全でない」と明示すべし――Googleが提案 - ITmedia エンタープライズ”. ITmedia. 2016年11月26日閲覧。
- ^ “【翻訳】安全でない HTTP の廃止 - Mozilla Security Blog 日本語版” (2015年9月17日). 2016年11月26日閲覧。
- ^ “Securing the Web” (英語). W3C (2015年1月22日). 2016年11月26日閲覧。
- ^ 大津繁樹 (2018年2月14日). “今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景”. エンジニアHub powered by エン転職. 2018年2月14日時点のオリジナルよりアーカイブ。2019年9月21日閲覧。
- ^ 鈴木聖子; ITmedia (2014年8月8日). “WebサイトのHTTPS対応、Google検索ランキングに反映”. ITmedia NEWS. 2019年9月21日閲覧。 “米Googleは8月6日、デフォルトでのHTTPS接続を推進する一環として、WebサイトがHTTPSを使っているかどうかを検索ランキングに反映させると発表した。ユーザーがGoogleのサービスを通じてアクセスするWebサイトのセキュリティ強化を促す措置と説明している。”
- ^ HTTPS をランキング シグナルに使用します
- ^ “安全なコンテキスト - ウェブセキュリティ”. MDN Web Docs. 2020年5月9日閲覧。
- ^ “混在コンテンツ - Security”. MDN Web Docs. 2020年5月9日閲覧。
- ^ Jo-el van Bergen. “混合コンテンツとは”. Google Developers. 2020年5月9日閲覧。
- ^ Mark Nottingham (2019年8月20日). “Bring RFC2818 into semantics · Issue #236 · httpwg/http-core”. GitHub. 2022年7月3日閲覧。
- ^ Transport Layer Security (TLS) Extensions, TLS Application-Layer Protocol Negotiation (ALPN) Protocol IDs
- ^ CA/Browser Forum. “About the Baseline Requirements” (英語). 2021年2月12日閲覧。 “The Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates describe a subset of the requirements that a certification authority must meet in order to issue digital certificates for SSL/TLS servers to be publicly trusted by browsers.”
- ^ 山崎 文明 (2010年11月25日). “欧米セキュリティ事情の新潮流 SSLでは不十分、クラウド時代の暗号化”. 日経 xTECH(クロステック). 2019年9月28日閲覧。
- ^ “HTTPSが安全とは限らない | カスペルスキー公式ブログ” (2018年1月22日). 2022年9月29日閲覧。 “今ではフィッシング詐欺の4分の1がHTTPSサイトで行われています”
- ^ 後藤大地 (2016年11月9日). “Google、Chromeで半数以上がHTTPSを利用と発表”. マイナビニュース > 企業IT > セキュリティ. 2017年3月16日閲覧。
- ^ 後藤大地 (2017年2月3日). “HTTPS、トラフィックの50%を突破”. マイナビニュース > 企業IT > セキュリティ. 2017年3月16日閲覧。
- ^ letsencryptのツイート(938091855941550080)
- ^ https://httparchive.org/reports/state-of-the-web#pctHttps
- ^ https://letsencrypt.org/stats/
- ^ https://web.archive.org/web/20190414205011/https://etherealmind.com/percentage-of-https-tls-encrypted-traffic-on-the-internet/
- ^ “中国大陸でネット検閲の中,HTTPSでGmailなどを安全に使えるのかどうか”. モバイル通信とIT技術をコツコツ勉強するブログ. 2017年2月16日閲覧。
- ^ “ロシアでWikipediaが禁止サイトのリストに加えられ閲覧不能に、原因は一体何だったのか?”. GIGAZINE. 2017年2月16日閲覧。
- ^ 大森敏行 (2019年2月25日). “韓国がアダルトサイトのブロックに使う技術、SNIの正体”. 日経クロステック(xTECH). 2020年7月19日閲覧。
関連項目
- HTTP Strict Transport Security
- Extended Validation 証明書
- HTTP Public Key Pinning
外部リンク
- RFC 9110 HTTP Semantics
-
RFC 2818 HTTP over TLS(旧式の規定)
- HTTP オーバー TLS (HTTP Over TLS) — IPAによる日本語訳
- SSL/TLS 暗号化: はじめに - Apache HTTP サーバ バージョン 2.4
- SSL Server Test (Powered by Qualys SSL Labs)
- IANAに登録されたURIスキーム
ウェブブラウザ側に関する規定
- Secure Contexts: W3Cのドラフト文書
- Mixed Content Level 2: W3Cのドラフト文書
利用統計
- Let's Encrypt Growth - Let's Encrypt
- State of the Web - httparchive.org
- HTTPS encryption on the web - Google
- Historical trends in the usage statistics of site elements for websites - w3techs.com
HTTPS
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/06/07 20:16 UTC 版)
「Hypertext Transfer Protocol」の記事における「HTTPS」の解説
詳細は「HTTPS」を参照 セキュアな通信路でHTTP通信を行うことを通常HTTPSと言う。
※この「HTTPS」の解説は、「Hypertext Transfer Protocol」の解説の一部です。
「HTTPS」を含む「Hypertext Transfer Protocol」の記事については、「Hypertext Transfer Protocol」の概要を参照ください。
- httpsのページへのリンク
