httpとhttpsの違いは、直球と魔球くらい違う

どうもーブルームプロモーションの高橋です。

以前の記事　「httpとは、WEBページを呼び出す呪文です。」では、「httpは異世界とやりとりするための呪文」であるとファンタジックにお伝えしました。（下記の画像からリンクします。未読の方はまずこちらから！）

今回は、httpに似ているhttpsについてお伝えします。

httpsは、httpにセキュリティ機能を追加したもので、Webページとの通信を暗号化したものです。

大手企業の個人情報漏洩に関するニュースも記憶に新しいですが、Webページでは特に「フォームなどで入力してもらった個人情報を不正アクセスから守ること」が重要です。

httpsは、大事な個人情報を渡すユーザーとしても、個人情報を受け取るサイト運営者としても、理解するべき大切な仕組みです。

WEB入門編ですが、おさえておきましょう。

※Googleからのhttps系情報で知っておくべきモノは、ページ下部のhttpsニュースに随時追記してます！

httpは直球すぎて危険

「http」は、WWWという異世界から見たいWEBページを呼び出すための通信形式（プロトコル）です。

私たちはhttpを使ってWWWと情報のキャッチボールを繰り返し、ブラウザを通して次々に違うページを見ています。

しかしこの「httpキャッチボール」には大きな欠点があります。

それはhttpを使って投げる玉はあまりにも直球ということです。

このまっすぐなボール（情報）は丸見えなため、ちょっと特訓した人には内容を解読することが可能なのです。

普通のWEBページを見るだけならまだしも、会員専用サイトのログイン情報や個人情報、クレジットカードを入力する場合、第三者から解読の可能性があるのは大問題です。

その解読を防ぐために生まれたスキーム（形式）がhttpsです。

httpという直球を、魔球に変えるhttps！

httpsは「HTTP over SSL/TLS」の略です。httpsのsはSecure（セキュア）の「S」とだけ覚えておいてください。セキュアとは「安全な」とか「危険のない」という意味です。

ちなみに日常でもよく耳にする「セキュリティ」はセキュアの名詞形です。

httpsがどう安全なのか？というと、ブラウザと異世界（www）とのバカ正直なキャッチボールを暗号化し、第三者から見ると意味不明な、なにがなんだかわからない玉を投げている状態へ変えます。

つまり、丸見えの直球を大リーグボールのような魔球へと変化させ、解読させない形式がhttpsな訳です。

 Webサイトを使う側、ユーザーとしての確認方法。

今行っている、または行おうとしているWeb上のやりとりが、直球なのか魔球なのかは、URLを見るだけですぐにわかります。

ブラウザ上部にあるアドレスバーでURLの始まりが「https」ならOK！魔球です。

とくに注意が必要なのは、個人情報の入力を求められるお問い合わせフォームや、購入をするためクレジットカード番号の入力画面です。
httpsではないページでは（くっ、これから投げる玉は直球か…）と簡単に打たれる可能性があることを覚えておきましょう。

みんな大好きFacebookやツイッターには全てのページについています。一番左に鍵のマークがありその横に緑色でhttpsとなっていますね。
SNSはログインをしなければ使うことができないので安心ですね。

 Webサイトを運営する側としての考え方。

わたしたちがユーザーの立場の場合、個人情報の入力ページくらいは「Sにしてよー、魔球にしてよー。」と思うのは当然ですが、あなたがサイトを運営する側だった場合はどうでしょうか？

セキュアしてますか？

多少予算のかかることです（価格は4,5千円〜10万円以上とピンキリ）が、入力を求めるような特定のページをhttpsにすることは、「私たちはお客さまの情報を保護しようとするタイプです！」という姿勢を見せるためにもこのご時世、必須項目と言っても過言じゃないでしょう。

実際にユーザーへのおもてなしのひとつだと思います。

httpsは検索順位にも影響します。

さらにGoogleはどう思っているか？とくに検索結果に影響するのか？という疑問は、この記事を読んでいる皆さんなら気になると思います。

以下は「Google フレンドリーなサイト制作・運営に関するウェブマスター向け公式情報」の記事ですが、タイトルからすでに思いっきり影響する素振りを見せていますね。

HTTPS をランキング シグナルに使用します
（以下引用）

『セキュリティは Google の最優先事項です。Google は、デフォルトで強力な HTTPS 暗号化を導入するなど、業界でも最先端のセキュリティを Google サービスに導入することに力を注いでいます。』

− 「俺らGoogleはかなり導入してるよ」と言っています。続いて −

『このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPS は、優れたユーザー エクスペリエンスを生み出す多くの要素のうちの 1 つです。

今後、より多くのウェブサイトで HTTPS が使用されることを期待しています。ウェブの安全性をさらに強化しましょう。』

− 「今のところランキングへの影響はあんまりないけど、今後はやっていくよ」とはっきり言ってます −

Googleはユーザーの使い勝手を重要視し、WEB上をより安全にするべきと考えています。WEBが危険な場所だとしたら、ユーザーはWEBを使わなくなるからです。WEBを使わなくなれば、Googleの利用する人も当然減ってしまいます。

このブルームジャーナルでも何度も伝えています（SEO（検索エンジン最適化）とは「ユーザーの利便性を追求する」こと）ので、これまでの記事を読んでる方には理解できる話しですね。

最後に

WEBサイトに入ったときに、アドレスバーの「URLを見るようになる」ことは、おしゃれさんが服の品質表示タグを見るように、しっかりものの奥様がスーパーで食品の内容表示を見るように、Webの世界においても、大人の階段を登り始めた証です。

そんな風にURLを見る癖がつくと、URLの始まり方はhttpだけじゃない！ということはもちろん、「ここってそんなドメイン名なんだー」とか「あ、ブログは外部サービスを使ってるんだー、SEO的にもったいないなー」とか色々なことがわかってきます。

もし、まだ問い合わせフォームなどが直球の方は、httpsの導入を検討してみましょう。

まとめ

・httpは直球だから丸見え
・httpsは魔球だからなんだかわからない
・httpかhttpsかはURLを見れば簡単にわかる
・Googleは現在はそれほどじゃないけど今後はhttpsか否かで順位変えるつもり

ブルームジャーナル（このブログ）の新記事更新情報を知りたい方は、Facebookページへのいいね！お願いしまーす。

httpsニュース追記

追記2015/12/25【HTTPSページを優先的にインデックス、掲載順位を若干引き上げる】

2015/12/18にGoogleのWEBマスター向け公式ブログの記事
HTTPS ページが優先的にインデックスに登録されるようになります

で、Googleは以下の通り明確に宣言しました。以下引用です。

昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受、中間者攻撃、データ改ざんの対象となってはいけません。Google が「HTTPS everywhere」の推進に取り組んできたのはこのためです。

この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する HTTPS ページのクロールを開始します。

追記2016/12/28【HTTPページを「Not secure」（安全でない）と明示】

2016/9/26に、Google Developers Japanブログ記事で
より安全なウェブを目指して　で、以下の通りお知らせがありました。以下引用です。

2017 年 1 月（Chrome 56）より、パスワードやクレジット カードの情報を転送する HTTP サイトは安全でないことが明示されるようになります。これは、すべての HTTP サイトを安全でないものと明示する長期計画の一環です。

https未対応サイトでは、最後の最後で離脱される可能性も高まります。

今後さらに、HTTPSは重要になりますね！

追記2018/05/18【https未対応の入力フォームで、危険ラベルが赤になる！】

2018/5/18に、海外SEO情報ブログ（鈴木謙一さん）の
安全性を示すHTTPSのラベルとアイコンがGoogle Chrome 69から削除、一方で非HTTPSページでは赤色反転で危険性を強調　で、以下の通り情報がありました。以下引用です。

セキュアではない HTTP 通信でフォームを送信するページの「保護されていない通信」ラベルが、文字を入力した瞬間 赤色に反転します。

文字を入力しようとしてる時に、赤色に反転したら、普通にビビりますよね…。2018年10月リリース予定の Chrome 70 から実装とのことです。

もはや必須レベルになりました。まだのサイトは急いでー！