2017年頃まで、インターネット上のWebサイトの大部分は、訪問者のWebブラウザーにWebサイトのデータを送信するために、厳密にハイパーテキスト転送プロトコル( HTTP )を使用していました。(HTTP)
それまでは、ほとんどのブラウザは安全なHTTPコンテンツを完全に受信できましたが、 (HTTP)HTTPSを使用してWebサイトを設定することを気にしたサイト所有者はほとんどいませんでした。
HTTPSとは何ですか?これは、ハイパーテキスト転送プロトコルセキュアの略です。そして今日、この安全なバージョンのHTTPは、インターネット上の大多数のWebサイトがコンテンツをブラウザーに送信する方法です。
HTTPSとは何ですか?
WebサイトがHTTPSを使用している場合、そのWebサイトとブラウザ間で送信されるすべてのデータが暗号化されていることを意味します。
HTTPSが登場する前は、ハッカーはWebホストとユーザーのブラウザ間の送信を簡単に傍受し、送信されているコンテンツを読み取ることができました。これは、コンテンツがHTMLまたはプレーンテキストで送信されたためです。多くの場合、ID(IDs)とパスワードでさえこれらの送信から簡単に抽出できました。
HTTPSの違いは何ですか?HTTPSは、以前はSecure Socket Layer(SSL )と呼ばれていた(SSL)トランスポート層セキュリティ(Transport Layer Security)(TLS )と呼ばれるものを使用します。
TLSは、2つのセキュリティ「キー」を使用して、Webホストとブラウザの間を行き来するデータを完全に暗号化します。
- 秘密鍵(Private key):これは、発信元のWebサーバーに保存されている鍵です。一般にはアクセスできないため、実際のWebサーバーに保存されているこの秘密鍵のみが送信を復号化できます。
- 公開鍵(Public key):公開鍵は、Webサイトを保持しているWebサーバーと通信するすべてのブラウザーで使用されます。
HTTPS通信のしくみ
通信プロセスは次のように機能します。
- ユーザーがブラウザーを開き、Webページに接続します。
- Webサイトは、公開鍵を含むSSL証明書をユーザーのブラウザに送信します。ブラウザは、サイトとの最初の接続を開くためにこの公開鍵を必要とします。
- これにより、クライアント(ブラウザ)とサーバー(Webサイト)が使用する暗号について「合意」し、サイトのSSLデジタル署名を検証し、現在のセッションの新しいセッションキーを生成する「 TLSハンドシェイク」と呼ばれるものが開始されます。
この「セッション」が確立されると、ブラウザとWebサーバーの間の誰も、転送される情報やデータを簡単に識別できなくなります。
これは、ブラウザに送信されるHTMLも含めて、すべてが暗号化されるためです(基本的に意味のないテキストと記号にスクランブルされます)。Webサイトとの最初の接続を確立したブラウザのみが情報を解読でき、その逆も可能です。ID(IDs)やパスワードなどを受信して解読して使用できるのはWebサイトだけです。
したがって、サイトが安全であることがわかった場合はいつでも、ブラウザとリモートサイト間の通信はプライベートであり、詮索好きな目から安全であると安心できます。
サイトがHTTPSを使用しているかどうかを知る方法
2017年以降、Googleはウェブサイトの所有者に(Google)SSL証明書をウェブサイトに組み込むよう圧力をかけました。これは、 HTTPS(HTTPS)を使用していないサイトにアクセスするたびにユーザーに「安全(Secure)ではありません」という警告を表示する最新バージョンのChromeに新機能を統合することで実現しました。
最新バージョンのChromeブラウザを実行していて、 (Chrome)HTTPSを使用する安全なサイトにアクセスすると、 URLの左側に小さな鍵のアイコンが表示されます。
その後間もなく、 Firefox(Firefox)、Safariなど、他のブラウザもそれに追随し始めました。Chromeと同じように、すべてロックアイコンが表示されます。
Webサイトにアクセスし、そのサイトが通信にHTTPSを使用していない場合、URLの左側に「安全ではありません」というエラーが表示されます。(Not secure)
これは訪問者をウェブサイトから遠ざけるのに十分な不快感ではないかのように、グーグルはまた、 (Google)SSL証明書の使用がウェブサイトが検索結果で上位にランク付けされるのを助けるという方針を制定しました。
これらの2つの理由により、ほとんどのWebサイト所有者は、SSL証明書を使用し、 (SSL)HTTPSを介して訪問者のブラウザーと通信するようにサイトを移行し始めました。
なぜHTTPSを気にする必要があるのですか?
インターネットのユーザーとして、サイトがHTTPS(HTTPS)を使用しているかどうかに細心の注意を払う必要があります。どのWebサイトにアクセスしたり、インターネットで何をしているのか、誰も気にしないと思うかもしれませんが、非常に大きなハッカーのコミュニティがあり、非常に興味を持っています。
ブラウザとWebサイトとの通信を傍受することにより、ハッカーは常に次の情報のいずれかを監視しています。
- あなたのメールアドレス。彼らはそれをメールスパマーに売ることができます。
- マーケターに販売できるようにするための電話番号と住所。
- 銀行口座にログインして資金にアクセスできるようにするために使用するIDとパスワード。
- あなたが訪問する恥ずかしいサイトは、あなたがお金を払わなければ、その活動を友人や家族と共有することを脅かす(threatening to share that activity with friends and family if you don’t pay up)電子メールをあなたに送ることができます。
- コンピュータの直接IPアドレス。システムをハッキングしようとする可能性があります(try to hack your system)。
実際、 HTTPS(HTTPS)を使用するサイトにのみアクセスするようにすることは、多くの理由から、オンラインでプライバシーとセキュリティを保護するための強力な方法です。
Webサイトを所有している場合は、 SSL(SSL)証明書のインストールとHTTPSの有効化について注意する必要がある理由がさらにあります。
- あなたはより多くのGoogle検索トラフィックを得るでしょう。
- 訪問者はあなたのウェブサイトをより頻繁に訪問するのに安全だと感じるでしょう。
- 顧客はあなたから製品を購入することでより安全に感じるでしょう。
- ハッカーは、WebサイトをハッキングしやすくするID(IDs)やパスワードを取得する可能性が低くなります。
最近インターネットを使用している人が、すべてのWebトランザクションにHTTPSのみを使用しないという正当な理由はもうありません。
サイトでHTTPSを使用する方法
あなたがウェブサイトを所有していて、人々があなたのサイトを訪れたときにその恐ろしい「安全ではない」メッセージを取り除くことに興味があるなら、あなたのウェブサイトにSSL証明書をインストールすることは難しくありません。
実際、 Webサイト用に独自のSSL証明書を取得する方法と、それをインストールする方法(how to get your own SSL certificate for your website, and how to install it)に関する完全なガイドを公開しています。
簡単な手順は次のとおりです。
- WebホストがWebサイトに提供した専用IPアドレスを決定します。
- Webサイトから提供されたSSL(SSL)証明書、またはSSL証明書サービスから購入したSSL証明書をインストールします。
- (Force)HTTPSを使用するようにすべての接続を変更する「rewrite」コマンドを使用して.htaccessファイルを編集することにより、サイトにアクセスするときにすべてのブラウザーにSSLを使用するように(SSL)強制します。
- (Make)サイトにインストールしたCDNサービスには必ずプライベートSSL証明書を提供してください。
多くのウェブホスティングサービスがウェブサイトの所有者にウェブサイトのSSL(SSL)証明書をインストールするためのワンクリックソリューションを提供しているため、このプロセスは最近さらに簡単になっています。
What Is HTTPS and Why You Should Care
Up until arоund 2017, a large majority of websites on the internet used strictly hypertext transfer protocol (HTTP) for the tranѕmission of a website’s data to a visitor’s web brоwser.
Until then, most browsers were fully capable of receiving secure HTTP content, but few site owners bothered to set up their websites using HTTPS.
What is HTTPS? It stands for hypertext transfer protocol secure. And today, this secure version of HTTP is how the majority of websites on the internet transmit their content to browsers.
What Is HTTPS?
When a website uses HTTPS, it means that all of the data being transmitted between that website and your browser is encrypted.
Before HTTPS, a hacker could easily intercept the transmission between the web host and the user’s browser, and read the content being transmitted. This is because the content was transmitted in HTML or plain text. In many cases even IDs and passwords were easy to extract from these transmissions.
What makes HTTPS different? HTTPS uses what’s called Transport Layer Security (TLS), formerly known as Secure Socket Layer (SSL).
TLS uses two security “keys” to fully encrypt the data going between the web host and your browser.
- Private key: This is a key stored on the originating web server. It isn’t accessible to the public, so only this private key stored on the real web server can decrypt transmissions.
- Public key: The public key is used by any browser that wants to communicate with the web server that holds the website.
How HTTPS Communication Works
The communication process works as follows.
- A user opens a browser and connects to a web page.
- The website sends the user’s browser an SSL certificate that contains the public key. The browser needs this public key in order to open the initial connection with the site.
- This initiates what’s called a “TLS handshake” where the client (browser) and the server (website) “agree” on the cipher to use, verify the site’s SSL digital signature, and generate new session keys for the current session.
Once this “session” is established, no one between the browser and the web server will be able to easily identify the information or data being transferred.
This is because everything, even the HTML transmitted to the browser, gets encrypted (essentially scrambled into nonsense text and symbols). Only the browser that established the initial connection with the website can decipher the information, and vice versa. Only the website can receive things like IDs and passwords and decipher them for use.
So, whenever you see that a site is secure, you can rest assured that the communications between your browser and the remote site are private and safe from prying eyes.
How to Know if a Site Uses HTTPS
Starting in 2017, Google put the pressure on website owners to incorporate SSL certificates into their websites. They did this by integrating a new feature into the latest version of Chrome that displayed a “Not Secure” warning to users whenever they visited a site that didn’t use HTTPS.
If you’re running the latest version of the Chrome browser and you visit a secure site that uses HTTPS, you’ll see a small lock icon to the left of the URL.
Not long after, other browsers started following suit, including Firefox, Safari, and more. They will all display a lock icon like Chrome does.
If you visit a website and the site isn’t using HTTPS to communicate, then you’ll see a Not secure error to the left of the URL.
As though this isn’t off-putting enough to keep visitors away from a website, Google also instituted a policy where use of SSL certificates would help websites rank higher in search results.
These two reasons are why most website owners finally started transitioning their sites to use SSL certificates and communicate with visitors’ browsers via HTTPS.
Why Should You Care About HTTPS?
As a user of the internet, you should care a great deal about whether or not a site uses HTTPS. You may not think anyone cares about what websites you visit or what you’re doing on the internet, but there are very large communities of hackers out there who are very interested.
By intercepting your browser communications with websites, hackers are constantly on the lookout for any of the following information:
In fact, making sure you only visit sites that use HTTPS is a powerful way to protect your privacy and security online, for many reasons.
If you own a website, there are even more reasons you should care about installing SSL certificates and enabling HTTPS.
- You’ll get more Google search traffic.
- Visitors will feel safe to visit your website more frequently.
- Customers will feel more secure buying products from you.
- Hackers will be less likely to obtain IDs or passwords that make it easier for them to hack your website.
There are no longer any good reasons for anyone using the internet these days not to be using only HTTPS for all web transactions.
How to Use HTTPS on Your Site
If you own a website and you’re interested in getting rid of that scary “Not Secure” message when people visit your site, it’s not difficult to install SSL certificates for your website.
In fact, we’ve published a full guide on how to get your own SSL certificate for your website, and how to install it.
The simple steps are as follows:
- Determine the dedicated IP address your web host has provided to your website.
- Install the SSL certificate either provided by your website, or one you’ve purchased from an SSL certificate service.
- Force all browsers to use SSL when visiting your site by editing the .htaccess file with a “rewrite” command that changes all connections to use HTTPS.
- Make sure to provide your private SSL certificate to any CDN services you’ve installed on your site.
This process is getting even simpler lately, since many web hosting services are providing website owners with one-click solutions to install SSL certificates for their website.
