ネットワークを整える
中級HTTPSのしくみを整える。
= アドレスバーの鍵マーク(TLS)のしくみを図でやさしく
アドレスバーの「鍵マーク」は何を保証しているのか──その正体である TLS ハンドシェイクを、図解アニメで一歩ずつ追います。証明書・認証局(CA)・共通鍵といった言葉も、絵で見れば腑に落ちます。http との違い、混在コンテンツの警告もここで整理。
TLDR — 30秒で分かる
鍵マーク🔒の中身は「TLSハンドシェイク」。最初だけ公開鍵で共通鍵を安全に渡し、あとは速い共通鍵で全部暗号化。証明書=サイトの身分証、認証局=その保証元。
主な機能を見る
- TLSハンドシェイクを図解アニメで再生
- http(平文)と https(暗号化+本人確認)の比較
- 証明書・認証局(CA)・共通鍵をやさしく解説
- 鍵マークの「保証」とフィッシングの誤解を整理
- 混在コンテンツ(Mixed Content)の注意
ブラウザ
あなた
サーバ
Webサイト
あなた
ブラウザ
途中の経路
Wi-Fi・プロバイダ
サイト
サーバ
STEP 1
※ イメージ図です。実際のハンドシェイクは一瞬(コンマ何秒)で終わります。
— http / https など
— 本当の接続先
— 既定 443 / 80
— サイト内の場所
⚠ このチェックでできること・できないこと: ここで分かるのは「URLの“形”から読み取れること」だけです。 証明書が本当に有効か・サイトが実在するか・フィッシングでないかは、 通信して確かめる必要があるためこの場では判定できません(= 送信ゼロ方針のため、入力したURLはどこにも送りません)。 「鍵マーク🔒(https)=安全」ではない点は、下の解説と合わせて確認してください。
ためしに入れてみる
盗み見されない(暗号化)
入力したパスワードやカード番号は暗号化され、途中の経路では読めません。
書き換えられない(改ざん検知)
途中で中身を差し替えられても検知できます。偽広告やウイルスの注入を防ぎます。
相手が本物だと分かる(認証)
証明書で接続先が本物のサイトだと確認します。なりすましを防ぎます。
⚠ よくある誤解: 鍵マークは「このサイトは安全な運営者だ」という意味ではありません。保証するのは 「通信が暗号化され、相手が証明書どおりのドメインである」ことだけ。 鍵マークが付いたフィッシングサイトも存在します(暗号化はしているが中身は偽物)。アドレスバーのドメイン名そのものを必ず確認してください。
鍵マークなし
http = 平文(はだか)
- ✕盗み見できる。同じWi-Fiの相手やプロバイダに中身が丸見え。
- ✕改ざんできる。途中で広告やウイルスを差し込まれる恐れ。
- ✕相手の確認なし。偽サイトでも気づけない。
鍵マークあり 🔒
https = 暗号化+本人確認
- ✓暗号化。盗み見されても中身は読めない。
- ✓改ざん検知。書き換えられれば壊れて分かる。
- ✓なりすまし防止。証明書で接続先のドメインを確認。
HTTPS の中身・4つ
「最初だけ公開鍵、あとは共通鍵」が TLS のキモ。
- 1
証明書 = サイトの「身分証」
サーバが返す証明書には、そのサイトの公開鍵とドメイン名、そして発行元(認証局)のお墨付きが入っています。「この公開鍵は確かに example.com のものですよ」という保証書です。
- 2
認証局(CA)= 信頼の出どころ
証明書は誰でも作れてしまうので、信頼できる第三者=認証局(CA)が「審査して発行」します。ブラウザやOSには、信頼できる CA の一覧が最初から入っています。その CA が発行した証明書だから信用できる、という信頼の連鎖です。
- 3
公開鍵で「共通鍵」を安全に渡す
公開鍵暗号は安全ですが遅い。そこで最初だけ公開鍵暗号を使って、両者だけが知る共通鍵を安全に共有します(鍵交換)。盗み見している人には、この共通鍵は分かりません。
- 4
あとは速い「共通鍵」で全部暗号化
共通鍵が共有できたら、以降のやり取りは同じ鍵で暗号・復号できる共通鍵暗号に切り替えます。速くて軽いので、大量のデータも快適に流せます。これが TLS が「最初だけ公開鍵、あとは共通鍵」と言われる理由です。
⚠ 混在コンテンツ(Mixed Content)に注意
https のページの中で、画像やスクリプトだけをhttp で読み込むと、その部分は暗号化されず抜け穴になります。これが「混在コンテンツ」。ブラウザは鍵マークを外したり、危険なものはブロックしたりします。ページ全体を https で統一するのが正解です。
🔒 上の「URLの安全度チェック」も含め、解析はすべてあなたのブラウザの中で完結します。入力したURLはサーバには送られません(送信ゼロ)。
よくある質問
- Q. 鍵マークが付いていれば、そのサイトは安全ですか?
- A. いいえ。鍵マークが保証するのは「通信が暗号化され、相手が証明書どおりのドメインである」ことだけです。暗号化した偽サイト(フィッシング)も存在します。アドレスバーのドメイン名そのものを必ず確認してください。
- Q. TLSとSSLは違うものですか?
- A. 役割は同じ「通信の暗号化」です。SSLが古い名称で、現在使われているのはその後継のTLS。慣習で今も「SSL証明書」と呼ばれますが、中身はTLSです。
- Q. 証明書を発行する「認証局(CA)」とは?
- A. 証明書を審査して発行する信頼できる第三者です。ブラウザやOSには信頼できるCAの一覧が最初から入っており、その一覧にあるCAが発行した証明書だから信用できる、という信頼の連鎖で成り立っています。
- Q. なぜ最初は公開鍵、あとは共通鍵に切り替えるのですか?
- A. 公開鍵暗号は安全ですが処理が遅いためです。最初だけ公開鍵暗号で両者だけが知る共通鍵を安全に共有し、以降は速くて軽い共通鍵暗号で本文を暗号化します。
- Q. 「混在コンテンツ」の警告が出ました。どう直しますか?
- A. https のページ内で画像やスクリプトを http で読み込んでいるのが原因です。その部分は暗号化されず抜け穴になります。読み込み先のURLをすべて https に統一すれば解消します。
- Q. 「この接続ではプライバシーが保護されません」と出るのはなぜ?
- A. 証明書の有効期限切れ、ドメイン名の不一致、信頼できないCAの発行、または通信の盗み見(中間者攻撃)が疑われる場合に出ます。むやみに進まず、まずはURLが正しいか確認してください。
- Q. このページにデータを入力すると送信されますか?
- A. 送信されません。本ページは解説のみで入力欄がなく、すべてブラウザ内で完結します(送信ゼロ)。
入力値はURLの「#」以降に入るためサーバーには送信されません。リンクを開くと同じ状態を復元します。
RELATED TOOLS
続けて整える
