コンテンツにスキップ

HTTPとHTTPS

第3講 / 全32講読了目安 約25分
  • リクエストとレスポンス
  • HTTPステータスコードの意味
  • HTTPSが守るもの
  • サーバー証明書の役割
  • 公開・運用時にPMが確認すること

ブラウザはサーバーへ情報を要求し、サーバーは結果を返します。要求をリクエスト、返答をレスポンスと呼びます。HTTPは、このやり取りの基本的なルールです。

sequenceDiagram
    participant B as ブラウザ
    participant S as サーバー
    B->>S: リクエスト
    S-->>B: レスポンス

Webページを見るときだけでなく、CMSから記事を取得する、フォームを送る、検索する、会員情報を更新する場面でもHTTPが使われます。

分類代表例意味実務との関係
成功200正常に返した通常表示
転送301・302別URLへ案内するサイト移行・一時転送
利用者側の問題400要求内容に問題があるフォームやAPIの入力
認証・権限401・403ログインや権限の問題管理画面・会員サイト
見つからない404対象がないURL変更・削除ページ
サーバー側の問題500番台処理に失敗した障害・外部API失敗

ステータスコードは、利用者へ表示するエラーページとは別です。見た目は通常ページでも、正しい状態を返していないとSEOや監視へ影響します。

HTTPSは、HTTP通信を暗号化し、接続先の確認を行う仕組みです。

  • 通信内容を第三者に読まれる
  • 通信途中で内容を書き換えられる
  • 利用者が偽の接続先へ誘導される

といったリスクを軽減します。ただし、HTTPSだからサイトのすべてが安全になるわけではありません。権限設定、CMS、入力処理、ライブラリ更新などは別の対策が必要です。

HTTPSを使うため、配信環境へサーバー証明書を設定します。証明書は対象ドメインを確認し、暗号化通信に必要な情報を提供します。

現在は自動更新されるサービスも多いですが、次を確認します。

  • 更新処理が失敗していないか
  • DNSや接続先変更後も更新できるか
  • 使用するサブドメインが対象か
  • 証明書を誰が管理するか
  • サービス解約時にどうなるか

ブラウザに警告が表示され、アクセスできない場合があります。

example.jpwww.example.jp を別々に扱う場合があります。使用ドメインを整理します。

ページはHTTPSでも、画像やスクリプトをHTTPで読み込むと、ブラウザが遮断することがあります。

外部API側の証明書問題でも、サイトの一部が動かなくなる場合があります。

Cookieはブラウザに小さな情報を保存する仕組みです。ログイン、言語、カート、解析、同意管理などに使われます。

PMは属性名を暗記するより、何を保存し、どの目的で使い、同意や保管期間をどうするかを確認します。

  • HTTPからHTTPSへ正しく転送される
  • 使用する全ドメインが証明書の対象になっている
  • 証明書の発行・更新担当が決まっている
  • 自動更新の失敗を検知できる
  • HTTPリソースが残っていない
  • 404・403・500等の表示とステータスを確認した
  • URL変更時のリダイレクトを確認した
  • Cookieの目的と同意管理を整理した

Q1. HTTPとHTTPSの最も大きな違いは何ですか。

Section titled “Q1. HTTPとHTTPSの最も大きな違いは何ですか。”
回答と解説HTTPSでは通信が暗号化され、接続先の正当性も証明書を使って確認します。

Q2. HTTPSにすればすべての脆弱性を防げますか。

Section titled “Q2. HTTPSにすればすべての脆弱性を防げますか。”
回答と解説防げません。HTTPSは主に通信を守る仕組みです。

Q3. 自動更新の証明書なら監視は不要でしょうか。

Section titled “Q3. 自動更新の証明書なら監視は不要でしょうか。”
回答と解説不要ではありません。DNS変更や権限変更などで更新に失敗する場合があります。