¶ 🌐 HTTPS通信の仕組み(HTTPとの違い)
¶ 🧭 このページについて
HTTPは「Webページを取りに行くための会話ルール」であり、ブラウザはHTTPリクエストを送り、サーバはHTTPレスポンスを返す。ここまではシンプルだが、インターネット上では通信が盗み見されたり改ざんされたり、接続先が偽物にすり替えられたりする可能性がある。
HTTPSは、そのHTTPを TLS で包み、安全に運ぶための仕組みである。このページでは「HTTPの基本 → HTTPSで増える手順 → どこで証明書が出てくるか」を、図を中心に整理する。
¶ 📋 目次
- HTTP通信の基本(リクエストとレスポンス)
- HTTPSとは(HTTPにTLSを足す)
- HTTPS通信の流れ(全体シーケンス)
- TLSハンドシェイクで増えること(証明書の検証)
- なぜHTTPSが必要か(守る3つ)
- 運用でよく出る話(80から443、HSTS)
- 確認コマンド(HTTPSの状態を見る)
- まとめ
¶ 📩 HTTP通信の基本(リクエストとレスポンス)
HTTPは、クライアント(ブラウザ)が要求を送り、サーバが応答を返すという形で成立している。
¶ 🧠 身近な例
- ブラウザ:注文する人
- サーバ:店
- リクエスト:注文書
- レスポンス:料理(結果)
¶ 図:HTTPのやり取り(最小構造)
HTTPは「何を取りに行くか」を伝えるルールであり、通信の中身を守る機能は持たない。
¶ 🔐 HTTPSとは(HTTPにTLSを足す)
HTTPSは、HTTPの前にTLSを挟み、暗号化と相手確認を行った上でHTTPを流す方式である。
¶ 🧠 身近な例
- HTTP:内容が見えるハガキ
- HTTPS:封筒に入れて、さらに差出人確認も済ませた郵便
¶ 図:HTTPSはHTTPの外側にTLSがある
¶ 🔁 HTTPS通信の流れ(全体シーケンス)
HTTPと比べて、HTTPSは「HTTPの前にやること」が増える。
- TCPで接続を作る
- TLSで相手確認と鍵の準備をする
- その上でHTTPをやり取りする
¶ 図:HTTPとHTTPSの違い(まとめて比較)
「HTTPSはHTTPを暗号化したもの」と言われるが、実際には TLSの手順が前段に追加されている。
¶ 🧾 TLSハンドシェイクで増えること(証明書の検証)
TLSの前段で重要なのは、次の2つ。
- 接続先のサーバが本物か(なりすまし防止)
- 暗号化のための共通鍵を安全に作る(盗み見防止)
このうち「本物かどうか」の確認で登場するのが サーバ証明書 である。
¶ 🧠 身近な例
- 証明書:身分証の提示
- 検証:身分証の確認(期限、発行者、本人一致)
¶ 図:TLSの入口で証明書が出てくる
ここで引っかかると、ブラウザは警告を出す。つまり証明書は「HTTPSの入口の関所」になっている。
¶ 🛡 なぜHTTPSが必要か(守る3つ)
HTTPS(TLS)が守りたいのは、だいたい次の3つに集約される。
- 機密性:盗み見されても中身が読めない(暗号化)
- 真正性:相手が本物である(証明書による確認)
- 完全性:途中で改ざんされていない(改ざん検知)
¶ 🧠 身近な例
- 機密性:封筒で中身を隠す
- 真正性:身分証で本人確認する
- 完全性:封が破れていないか確認する
¶ 図:HTTPSが守る3つ
¶ 🧰 運用でよく出る話(80から443、HSTS)
¶ ① 80から443へリダイレクト
運用では、HTTP(80)で来たアクセスをHTTPS(443)へ転送する構成がよく使われる。理由は「利用者の入力や古いリンクがhttpのまま」になることがあるため。
¶ 🧠 身近な例
- 旧住所へ来た郵便を新住所へ転送する
¶ ② HSTS
HSTSは「一定期間はブラウザがHTTPでアクセスしないようにする」仕組みで、HTTPSへの移行後に有効になる場面が多い。
¶ 🧪 確認コマンド(HTTPSの状態を見る)
この章は「どこが悪いか」を切り分けるための最小セット。
¶ ① HTTPとHTTPSでレスポンスを見る
curl -I http://example.com/
curl -I https://example.com/
¶ ② SNI付きで証明書の中身を見る
openssl s_client -connect example.com:443 -servername example.com |
openssl x509 -noout -subject -issuer -dates
この確認は「TLSが通るか」ではなく、「どの証明書が返ってきているか(Subject、Issuer、有効期限)」を確認するためのもの。
¶ 🧾 まとめ
- HTTPは「要求と応答」のルールであり、通信を守る機能は持たない
- HTTPSは「HTTPをTLSで包み、安全に運ぶ」方式である
- HTTPSでは、TCP接続の後にTLSハンドシェイクが入り、証明書の検証と共通鍵の準備が行われる
- 実務では、80から443への転送、証明書の期限、SNIでの証明書出し分けが詰まりやすい