HTTPSとは何ですか、なぜ気にする必要がありますか?
HTTPS、アドレスバーの鍵アイコン、暗号化されたWebサイト接続など、さまざまなものとして知られています。かつては主にパスワードやその他の機密データ用に予約されていましたが、Web全体が徐々にHTTPを残し、HTTPSに切り替えています。
HTTPSの「S」は「Secure」の略です。これは、WebブラウザがWebサイトと通信するときに使用する標準の「ハイパーテキスト転送プロトコル」の安全なバージョンです。
HTTPがどのようにあなたを危険にさらすか
通常のHTTPを使用してWebサイトに接続すると、ブラウザはWebサイトに対応するIPアドレスを検索し、そのIPアドレスに接続し、正しいWebサーバーに接続されていると見なします。データは接続を介してクリアテキストで送信されます。Wi-Fiネットワーク上の盗聴者、インターネットサービスプロバイダー、またはNSAのような政府の諜報機関は、アクセスしているWebページと転送しているデータを見ることができます。
関連:暗号化とは何ですか、そしてそれはどのように機能しますか?
これには大きな問題があります。一つには、正しいウェブサイトに接続していることを確認する方法はありません。銀行のWebサイトにアクセスしたと思うかもしれませんが、ネットワークが侵害されており、詐欺師のWebサイトにリダイレクトされています。パスワードとクレジットカード番号をHTTP接続経由で送信しないでください。そうしないと、盗聴者が簡単にそれらを盗む可能性があります。
これらの問題は、HTTP接続が暗号化されていないために発生します。HTTPS接続はです。
HTTPS暗号化があなたをどのように保護するか
関連:ブラウザがWebサイトのIDを確認し、詐欺師から保護する方法
HTTPSはHTTPよりもはるかに安全です。HTTPSで保護されたサーバーに接続すると(銀行のような安全なサイトは自動的にHTTPSにリダイレクトします)、WebブラウザーはWebサイトのセキュリティ証明書をチェックし、正当な認証局によって発行されたことを確認します。これにより、Webブラウザのアドレスバーに「//bank.com」と表示されている場合に、実際に銀行の実際のWebサイトに接続していることを確認できます。セキュリティ証明書を発行した会社が保証します。残念ながら、認証局が不正な証明書を発行し、システムが故障することがあります。完璧ではありませんが、HTTPSはHTTPよりもはるかに安全です。
HTTPS接続を介して機密情報を送信する場合、転送中に誰もその情報を盗聴することはできません。HTTPSは、安全なオンラインバンキングとショッピングを可能にするものです。
また、通常のWebブラウジングに追加のプライバシーを提供します。たとえば、Googleの検索エンジンはデフォルトでHTTPS接続になりました。これは、あなたがGoogle.comで検索しているものを他の人が見ることができないことを意味します。ウィキペディアや他のサイトにも同じことが言えます。以前は、同じWi-Fiネットワーク上の誰でも、インターネットサービスプロバイダーと同様に検索を見ることができました。
誰もがHTTPを置き去りにしたい理由
HTTPSは元々、パスワード、支払い、およびその他の機密データを対象としていましたが、現在、Web全体がそれに向かっています。
米国では、インターネットサービスプロバイダーがWeb閲覧履歴をスヌープし、広告主に販売することが許可されています。 WebがHTTPSに移行した場合、インターネットサービスプロバイダーはそのデータをそれほど多く見ることはできません。ただし、表示している個々のページではなく、特定のWebサイトに接続していることだけがわかります。これは、ブラウジングのプライバシーが大幅に向上することを意味します。
さらに悪いことに、HTTPを使用すると、インターネットサービスプロバイダーは、必要に応じて、アクセスしているWebページを改ざんすることができます。 Webページにコンテンツを追加したり、ページを変更したり、削除したりすることもできます。たとえば、ISPはこの方法を使用して、アクセスしたWebページにより多くの広告を挿入できます。 Comcastはすでに帯域幅の上限に関する警告を挿入しており、Verizonは広告の追跡に使用されるスーパークッキーを挿入しています。 HTTPSは、ISPやネットワークを実行している他の人がこのようなWebページを改ざんするのを防ぎます。
そしてもちろん、Edward Snowdenに言及せずに、Web上で暗号化について話すことは不可能です。2013年にスノーデンが漏えいした文書は、米国政府が世界中のインターネットユーザーがアクセスしたウェブページを監視していることを示しています。これは、暗号化とプライバシーの強化に向けて動くために、多くのテクノロジー企業の下で火をつけました。HTTPSに移行することで、世界中の政府はすべてのブラウジング習慣を表示するのに苦労しています。
ブラウザがどのようにウェブサイトにHTTPをダンプするように勧めているか
HTTPSに移行したいというこの願望のために、Webを高速化するために設計されたすべての新しい標準にはHTTPS暗号化が必要です。 HTTP / 2は、すべての主要なWebブラウザでサポートされているHTTPプロトコルの主要な新しいバージョンです。圧縮、パイプライン、およびWebページの読み込みを高速化するその他の機能を追加します。これらの便利な新しいHTTP / 2機能が必要な場合、すべてのWebブラウザでHTTPS暗号化を使用する必要があります。最新のデバイスには、HTTPが必要とするAES暗号化を処理するための専用ハードウェアもあります。これは、HTTPSが実際にはHTTPよりも高速である必要があることを意味します。
ブラウザが新しい機能でHTTPSを魅力的にしている一方で、Googleはそれを使用するためにウェブサイトにペナルティを課すことによってHTTPを魅力的にしていません。Googleは、HTTPSを使用しないウェブサイトをChromeで安全でないものとしてフラグを立てる予定であり、GoogleはGoogleの検索結果でHTTPSを使用するウェブサイトを優先したいと考えています。これは、WebサイトがHTTPSに移行するための強力なインセンティブを提供します。
HTTPSを使用してWebサイトに接続しているかどうかを確認する方法
Webブラウザのアドレスバーのアドレスが「//」で始まる場合は、HTTPS接続でWebサイトに接続していることがわかります。また、ロックアイコンも表示されます。このアイコンをクリックすると、Webサイトのセキュリティの詳細を確認できます。
これはブラウザごとに少し異なりますが、ほとんどのブラウザには//とロックのアイコンが共通しています。一部のブラウザでは、デフォルトで「//」が非表示になっているため、ウェブサイトのドメイン名の横に鍵のアイコンが表示されます。ただし、アドレスバーの内側をクリックまたはタップすると、アドレスの「//」部分が表示されます。
関連:暗号化されたWebサイトにアクセスしている場合でも、パブリックWi-Fiネットワークの使用が危険な理由
なじみのないネットワークを使用していて、銀行のWebサイトに接続している場合は、HTTPSと正しいWebサイトアドレスが表示されていることを確認してください。これは、絶対確実なソリューションではありませんが、実際に銀行のWebサイトに接続していることを確認するのに役立ちます。ログインページにHTTPSインジケーターが表示されない場合は、侵害されたネットワーク上の詐欺師のWebサイトに接続している可能性があります。
フィッシング詐欺に注意してください
関連:オンラインセキュリティ:フィッシングメールの構造を分析する
HTTPS自体の存在は、サイトが合法であることを保証するものではありません。一部の巧妙なフィッシング詐欺師は、人々がHTTPSインジケーターとロックアイコンを探し、自分のWebサイトを偽装するために邪魔にならない可能性があることに気づきました。したがって、引き続き注意する必要があります。フィッシングメールのリンクをクリックしないでください。クリックすると、巧妙に偽装されたページが表示される可能性があります。詐欺師は、詐欺サーバーの証明書も取得できます。理論的には、所有していないサイトになりすますことはできません。//google.com.3526347346435.comのようなアドレスが表示される場合があります。この場合、HTTPS接続を使用していますが、実際には、Googleではなく3526347346435.comという名前のサイトのサブドメインに接続しています。
他の詐欺師は、ロックアイコンを模倣して、アドレスバーに表示されるWebサイトのファビコンをロックに変更して、だまそうとする可能性があります。 Webサイトへの接続を確認するときは、これらのトリックに注意してください。