HTTP(Hypertext Transfer Protocol)はデータを平文で送信します — ネットワーク上の誰でも読めます。HTTPS(HTTP Secure)はTLS暗号化を追加します — データはブラウザとサーバー間でエンドツーエンド暗号化されます。
2026年時点で、Webサイトの86.9%がHTTPSを使用しています。Chromeは2026年10月にHTTPS-Firstをデフォルトにします。HTTPサイトにはフルページの警告が表示されます。
並べて比較
| HTTP | HTTPS | |
|---|---|---|
| URLプレフィックス | http:// | https:// |
| 暗号化 | なし — 平文 | TLS暗号化(AES-256) |
| デフォルトポート | 80 | 443 |
| 証明書が必要 | いいえ | はい(Let’s Encryptから無料) |
| ブラウザ表示 | 「保護されていない通信」警告 | パドロックアイコン |
| データが見える範囲 | ネットワーク上の誰でも(ISP、Wi-Fi、プロキシ) | 送信者と受信者のみ |
| データ完全性 | なし — 転送中に改変可能 | あり — 改ざんが検出される |
| 認証 | なし — ID証明なし | 証明書がサーバーIDを証明 |
| 速度 | HTTP/1.1のみ | HTTP/2有効(高速) |
| SEO | ネガティブシグナル(2014年以降) | ポジティブシグナル |
| 最新Web API | ほとんどブロック | すべて利用可能 |
| コスト | 無料 | 無料(Let’s Encrypt) |
| Chrome 2026年10月 | フルページ警告 | 通常 |
HTTPで起こること(リスク)
暗号化されていないHTTP接続では、ネットワーク観察者はすべてを見ることができます:
GET /login HTTP/1.1
Host: example.com
Cookie: session=abc123xyz
username=admin&password=MySecret123これには以下が含まれます:訪問するURL、フォームデータ(ユーザー名、パスワード、クレジットカード)、Cookie(セッショントークン)、ページコンテンツ、APIレスポンス。同じWi-Fi上の誰でも、あなたとサーバー間のすべてのルーター、ISPがすべてを読めます。
HTTPSでは同じ観察者が見えるのは:
[encrypted data — indistinguishable from random bytes]宛先IPとドメイン名(SNI)は見えますが、URLパス、ヘッダー、本文、Cookieは見えません。
HTTPサイトができないこと
ブラウザは最新APIをHTTPSのみ(「セキュアコンテキスト」)に制限しています:
- Service Workers — オフラインサポート、プッシュ通知
- Geolocation API — GPSアクセス
- Camera/Microphone —
getUserMedia() - Clipboard API — クリップボードの読み書き
- Payment Request API — ネイティブ決済シート
- Web Bluetooth, Web USB — ハードウェアアクセス
- HTTP/2 — 多重化、ヘッダー圧縮(ブラウザはHTTPSを要求)
これらの機能を使用するサイトでは、HTTPSはオプションではなく必須です。
SEOの違い
Googleは2014年にHTTPSをランキングシグナルとして確認しました。直接的なシグナルは「軽量」(同点の場合の決定要因)ですが、間接的な効果は大きいです:
- 「保護されていない通信」警告 → 直帰率の上昇 → エンゲージメントの低下 → ランキングの低下
- HTTP/2なし → ページ読み込みの遅延 → Core Web Vitalsの悪化 → ランキングの低下
- Chrome HTTPS-First(2026年10月) → フルページ警告 → 大幅なトラフィック損失
「でもHTTPSは遅い」— これは神話
HTTPSはTLSハンドシェイクに1ラウンドトリップ(TLS 1.3で10〜40ms)を追加します。しかしHTTPSはHTTP/2を有効にし、以下によりページをより速く読み込みます:
- 多重化 — 1つの接続で複数のリクエスト(HTTP/1.1:一度に1つ)
- ヘッダー圧縮 — オーバーヘッドの削減
- セッション再開 — 再訪問者はハンドシェイクをスキップ(TLS 1.3の0-RTT)
結果:HTTPS + HTTP/2サイトは通常、HTTP/1.1サイトより高速に読み込まれます。
HTTPからHTTPSへの切り替え方法
- 無料証明書を取得 — GetHTTPS(5分、インストール不要)
- サーバーにインストール — Nginx | Apache | cPanel | WordPress
- 301リダイレクトを設定 — リダイレクトガイド
- 混合コンテンツを修正 — 混合コンテンツガイド
- 外部サービスを更新 — Google Search Console、Analytics、SNSプロフィール
よくある質問
HTTPに留まる理由はありますか?
ありません。HTTPSは無料(Let’s Encrypt)で、設定に5分、サイトを高速化し(HTTP/2)、「保護されていない通信」警告を回避します。HTTPに留まるメリットはゼロです。
HTTPSでサイトは完全に安全になりますか?
HTTPSは接続を保護します — 盗聴、改ざん、なりすましを防ぎます。アプリケーションの脆弱性(XSS、SQLインジェクション)、サーバー側の侵害、フィッシング(暗号化 ≠ 信頼できる)、ユーザーのデバイス上のマルウェアからは保護しません。
無料と有料の証明書は同じHTTPSを提供しますか?
はい。暗号化は同一です。Let’s Encryptの無料DV証明書と$500のEV証明書は同じTLSプロトコル、暗号スイート、鍵交換を使用します。パドロックアイコンも同じです。
HTTPSに切り替えると何か壊れますか?
可能性があります:コンテンツ内のハードコードされたhttp://リンクは混合コンテンツの警告を引き起こし、一部のサードパーティ埋め込みはHTTPS URLが必要な場合があります。移行ガイドですべてのエッジケースをカバーしています。