この記事の3秒まとめ(結論)
- HTTPとHTTPSの違い:通信が暗号化されているかどうかの違い。「s」はSecureの略。
- SSLとTLSの違い:SSLは古い規格。現在はより安全な「TLS」が使われているが、名前だけ「SSL」が残っている。
- 鍵マークの意味:「通信が暗号化されている」ことの証明。サイト運営者が絶対に信頼できることを保証するものではないので注意!
✨ HTTPとHTTPSの違い:まず基本から
ウェブサイトのURLは「http://」または「https://」から始まります。この「s」の有無が大きな違いを生みます。
⚠️ HTTP(暗号なし)
- 通信が平文(丸見え)
- 盗聴・改ざんが可能
- パスワードも生の文字で流れる
- 現在はほぼ使用すべきでない
✅ HTTPS(TLSで暗号化)
- 通信が暗号化される
- 盗聴されても解読できない
- サーバーの本物確認ができる
- 現在のウェブの標準
「httpのサイトは危ない」ってよく聞くけど、具体的に何が危ないの?
カフェのWi-Fiを使ってhttpサイトにログインすると、同じWi-Fiにいる悪意のある人がパケットを盗み見るだけでIDとパスワードが丸見えになるんだよ😱 HTTPSならそれが暗号化されるよ🐾
🔸 SSLとTLSの違い:名前の混乱を整理
「SSL」と「TLS」は混用されることがありますが、技術的には異なるものです:
| バージョン | 年 | 状態 | 備考 |
|---|---|---|---|
| SSL 1.0 | 1994 | ❌ 廃止 | Netscapeが開発。脆弱性で非公開 |
| SSL 2.0 / 3.0 | 1995〜1996 | ❌ 廃止 | POODLE攻撃等の脆弱性 |
| TLS 1.0 / 1.1 | 1999〜2006 | ❌ 廃止 | 2021年にほぼ全ブラウザが無効化 |
| TLS 1.2 | 2008 | ✅ 許容 | GCMモード等で現在も使用可 |
| TLS 1.3 | 2018 | ✅ 現行標準 | 高速・高安全。現在の推奨 |
SSLは「Secure Sockets Layer」、TLSは「Transport Layer Security」の略です。現在「SSL」と言う人がほとんどですが、実際に使われているのはより安全なTLS 1.2 または TLS 1.3です。歴史的な名残で「SSL証明書」「SSL通信」という言葉が残っていますが、技術的には「TLS通信」が正確です。
🔸 TLSハンドシェイク:接続前の「あいさつ」の仕組み
ブラウザがhttpsサイトに接続するとき、実際の通信の前に「ハンドシェイク(握手)」と呼ばれる手順が行われます。TLS 1.3の場合は以下の流れです:
- Client Hello:ブラウザが「使える暗号一覧」と同時に「セッション鍵のヒント(公開鍵)」をいきなり送信!
- Server Hello & 鍵合意:サーバーが暗号方式を決定し、自分の「セッション鍵のヒント」を返送。この一瞬で双方が暗号鍵を完成させる。
- 証明書の検証:サーバーの身分証明書(サーバー証明書)が、さっそく暗号化されて送られてくるのでブラウザが確認。
- Finished:双方がハンドシェイク完了を確認。以降はAES-GCMで暗号化通信開始
※TLS 1.3ではこの全手順が1往復(1-RTT)で完了。TLS 1.2より大幅に高速化されています。
見知らぬカフェの店員に「いつもの裏メニューちょうだい!あと今日の合言葉のヒントはこれね!(Client Hello+鍵のヒント)」と声をかけ、店員が合言葉を完成させて、暗号化された秘密の小箱で「名札(証明書)」を見せてくるイメージです。これなら隣のお客さんには何の話をしているか絶対にバレません。
こんな複雑な手順が一瞬で終わってるの?
そうね!TLS 1.3なら数十ミリ秒で完了するね。ページを開くとき「ちょっと待って」ってなる時間の一部がこのハンドシェイクだよ🐾 だから新しいTLS 1.3は「速くて安全」が売りなんだよ!
🔸 SSL証明書の種類:鍵マークの「質」の違い
HTTPSの「鍵マーク」があれば全部同じというわけではありません。証明書には3種類の検証レベルがあります:
DV(ドメイン認証)証明書
ドメインの所有を確認するだけ。無料のLet's Encryptで取得可能。ドメインが本物かどうかは証明するが、運営団体の実在は証明しない。個人ブログ・小規模サイト向け。
OV(組織認証)証明書
ドメインに加え、運営組織の法的実在を認証局が審査・確認。企業サイト・公的機関向け。
EV(拡張認証)証明書
最も厳しい審査。組織の法的地位・物理的所在・電話確認まで行う。かつてはアドレスバーが緑色になったが、現在は多くのブラウザで表示を廃止(EV証明書自体は有効)。現在はブラウザの『鍵マーク』をクリックして詳細を見ると、EV証明書の場合は運営企業名(例:〇〇 Bank)がしっかりと明記されているので確認できますよ!銀行・決済サービス向け。
🔸 この鍵マークに注意!フィッシング詐欺の落とし穴
⚠️ 重要:「🔒があれば安全」は誤解です!
鍵マークは「通信が暗号化されている」ことを示すだけで、「サイトが信頼できる」ことは証明しません。フィッシング詐欺サイトでもDV証明書を取得してhttpsにできます。鍵マークだけに騙されないためにも、金融機関やショッピングサイトにアクセスするときは、メールのリンクからではなく、『あらかじめ登録しておいたブックマーク』や『公式アプリ』から開くことをおすすめします🐾
📌 まとめ
- HTTPSは「HTTP+TLS暗号化」。通信の盗聴・改ざん・なりすましを防ぐ
- 「SSL」は歴史的名称。現在実際に使われているのはTLS 1.2またはTLS 1.3
- TLSハンドシェイクで証明書検証・鍵合意を行い、AES-GCMで本通信を行う
- 証明書にはDV・OV・EVの3段階。鍵マーク=通信暗号化の証明(サイトの信頼性とは別)
- フィッシングサイトもHTTPS対応できる。URLドメインの確認も必須