http と https
ウェブサイトのURLの多くは\「http・・」または「https・・」で始まります。
http(HyperText Transfer Protocol)は、ウェブサーバとのデータの送受信を行う通信手順(プロトコル)です。
GoogleとYahoo!、YouTubeのURLは以下です。
- https://www.google.co.jp
- https://www.yahoo.co.jp
- https://www.youtube.com
httpsとドメインでウェブサイトにアクセスできます。
私たちはウェブサイトにアクセスして、ページを閲覧したり画像や動画を見ています。その送受信を暗号化しているものがhttpsです。
公式サイトであっても、URLがhttpであり、暗号化を導入していないサイトも多くあります。
httpsとは
SSL(TLS)で暗号化されたhttp通信がhttpsです。
(TLSの)主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。
現在はTLSというプロトコルが使われていますが、TLSの元となったプロトコルがSSLであり、SSLという名前が広まっていることから今でもSSLと呼びます。
SSL化の必要性
以前はクレジットカードや個人情報を入力するページのみSSLを導入していましたが、今はウェブサイトのSSL化が進んでいます。
多くの人がパソコンやスマートフォンなど端末を持ち、様々なサイトにアクセスしています。その通信の中には Cookieやログイン情報など重要な情報が含まれています。
保護されていない通信
Google Chrome でウェブサイトにアクセスすると、アドレスバーに次のように表示されます。
- httpsは「tuneアイコン」(Firefoxは錠前アイコン)
- httpは保護されてない通信
アドレスバーで保護されている通信か保護されていない通信かを見分けることができます。
SSL未導入のウェブサイト 各ブラウザでの表示
そのウェブサイトが保護されているか否かはURLを見ればわかります。ブラウザは、そのサイトが保護されているということをアドレスバーに表示しています。
- httpsはSSLで暗号化された通信
- httpは保護されていない通信
Google Chromeのアドレスバー
アドレスバーにアイコンが表示されます。アイコンをクリックするとサイトの情報が表示されます。
- SSLで暗号化された通信はtuneのアイコン
- SSL導入していない通信は「保護されてない」と表示される
画像上が保護されている通信で、画像下が保護されていない通信です。

Firefox のアドレスバー
アドレスバーにアイコンが表示されます。アイコンをクリックするとサイトの情報が表示されます。
- SSLで暗号化された通信は錠前のアイコンがある
- SSL導入していない通信は錠前のアイコンに赤い線が入っている
画像上が保護されている通信で、画像下が保護されていない通信です。

Microsoft Edgeのアドレスバー
アドレスバーにアイコンが表示されます。アイコンをクリックするとサイトの情報が表示されます。
- SSLで暗号化された通信は錠前のアイコンがある
- SSL導入していない通信は「セキュリティー保護なし」と表示
画像上が保護されている通信で、画像下が保護されていない通信です。

保護されていない通信に対するGoogle Chromeの注意書き

「HTTPS を使用してサイトとデータを保護するようサイトの所有者に依頼してください。」と記載があります。
ウェブサイトの信頼
ブラウザに安全を示すアイコンがあることで、無いよりもユーザーの信頼を得ることができるように思います。またGoogleは、HTTPSを検索順位に使用することを公式発表しています。
search consoleも推奨しています。
HTTPS(Hypertext Transfer Protocol Secure)は、ユーザーのパソコンとサイトの間で送受信されるデータの完全性と機密性を確保できるインターネット接続プロトコルです。ユーザーはウェブサイトにアクセスするとき、安全でプライベートにインターネットを利用していると考えています。サイトのコンテンツを問わず、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を導入することをおすすめします。
search console
SSL化しても保護されていない通信
以前はhttpsのウェヴページへリンクしたhttpのページ(暗号化されていないページ)は開けませんでしいた。 SSL化されたウェブページに、HTTPが残っていることを混在コンテンツと言います。
- 混在コンテンツ
以前はSSL化してもページ内にhttpがあれば、保護されていない通信と表示されていました。
ブラウザでユーザーに混合コンテンツの警告が報告されますが、報告されたときには手遅れです。安全でないリクエストは既に実行され、ページのセキュリティが侵害されています。 このような状況は、残念なことにウェブでは非常によく見られます。この理由から、すべての混合リクエストを単にブロックすることはできません。ブロックすると多数のサイトの機能が制限されてしまいます。
以前はブロックされていましたが、今は混在コンテンツでもブロックされることはありません。