近年、「常時SSL」に対応するサイトが増えています。

そもそもの始まりは、2014年8月、Googleが検索結果(SEO)にhttpsサイト(SSL化したサイト)を優遇すると発表したためです。

Googleの具体的な発表内容については、以下公式ブログの記事をご覧ください。

https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

この記事では、なぜGoogleが常時SSL化を推奨しているかと、SEOで優位に立ちまわるためのSSL化の手順について解説しています。

1、そもそもSSL化とは何?

Googleが常時SSLを進めようとしている理由を探る前に、そもそもSSL化とは何なのか簡単に振り返っておきましょう。

SSLとは「Secure Socket Layer」の略で、インターネットなどのネットワークで送受信されるデータを暗号化する手順(プロトコル)です

ホームページ(サイト)にSSLが使われている場合、そのサイトを閲覧する際に生じるデータ送受信の内容を、悪意のある第三者から盗聴されてしまうことを防ぐことができます。裏を返せば対策がとれていないサイトをみる際は、そこで生じるデータ送受信が盗聴される可能性があるということです。

SSLが行われていないサイトのURLは「http://~」からはじまる一方、SSLが実装されたサイトのURLは「https://~」(「s」の文字が付加される)からはじまります。

そしてGoogleが推奨する「常時SSL」とは、全てのコンテンツがSSLによって暗号化されたサイトをさします。クレジットカードの番号などの個人情報を入力するフォームだけSSLを利用するサイトもありますが、そのようなサイトは常時SSLに対応しているとは言いません。

ちなみにSSLというキーワードが一般的ですが、現在、厳密にいえばSSLを利用しているサイトはほとんどない筈です。最新のバージョンであるSSL3.0は重大な脆弱性が見つかり使用を禁止されているためです。

現時点では、SSLの次世代の規格である「TLS(Transport Layer Security)」が利用されています。しかしながらSSL・TLS区別なくSSLと呼んだり、「SSL/TLS」と並べて表記したりされているのが現状です。

2、Googleが常時SSL化を推奨しているのはなぜか?

Googleでは自身の検索結果を安心してユーザーに使ってもらえるように、さらにはより広い意味でユーザーが安全にインターネットを利用できるように、以下公式ブログなどで「Googleはセキュリティを最優先事項とする」と述べています。

https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

上述したように、個人情報のデータが送受信されるフォームが、盗聴されるのを予防するためSSLによって暗号化されることはもちろん重要なことです。

けれどサイト自体が悪質なマルウェアに感染したり、悪意のある第三者に改ざんされてしまったりするのを防ぐためにも常時SSLが有効であるとGoogleは語っています。

こういった理由で、Googleは常時SSLを推奨しているわけです。今後、常時SSLに対応していないサイトはどんどん減っていくことでしょう

3、常時SSLすることによるメリット

それでは常時SSLに対応することで、具体的にどのようなメリットが考えられるでしょうか。ここではそのポイントを簡単にまとめて紹介します。

①SEOでSSL非対応のサイトよりも優遇される

これはすでに書いた通りですね。Google自ら、常時SSLに対応したサイトを検索結果で優遇すると語っています。

Googleが発表した調査結果によると、Googleサービス上でのトラフィックのうち暗号化されているのは2013年12月時点では48%にとどまっていたものの、2018年2月の段階では91%にまであがっているとのことです

具体的にどの程度SEOに響くのかは明らかにされていないものの、Googleが常時SSLを重視している姿勢をみると無視はできません。

②Webサイトの信頼性と安全性を得ることができる

これも今まで述べた通り、サイトを常時SSL化することによって盗聴や改ざんなどの被害を予防することができます。常時SSLによってサイトの安全性を確保できるわけです。

また常時SSLに対応しサイトのURLが「https://~」となっていることで、サイトへ訪れるユーザーにセキュリティが確保されていることをアピールする効果もあります。

ユーザーから、「このサイトを使っても安全だな」という信頼を得ることが可能です

また常時SSLによって、昨今問題となっている「なりすましサイト」ではないという証明をする方法もあります。具体的な詳細は後述しますが、これによってユーザーにさらに強く信頼してもらえます。

③Google Analytics解析の精度が向上する

サイトのアクセス解析にGoogle Analyticsを利用している方も多いことでしょう。

しかしながら常時SSL化によって、この解析精度が向上することを知らない方も多いのではないでしょうか

Googleアナリティクスの仕様では、SSLに対応したサイトから対応していないサイトへ移動した場合、リファラ(参照元)と呼ばれる情報が「なし」と判定されてしまうのです。

これでは正しいアクセス解析ができません。

自サイトを常時SSLに対応させることで、http・httpsいずれのサイトからアクセスがあった場合でもリファラ情報が取得できます。これによって、Google Analytics解析の精度が向上するわけです。

4、常時SSLすることによるデメリット

サイトを常時SSL化することは、必ずしもメリットだけではありません。ここではデメリットをまとめて紹介します。

メリット・デメリット両方とも把握してから、サイトの常時SSL化を実行するようにしましょう。

①SSLサーバ証明書の発行による費用の発生

サイトを常時SSL化するためには、SSLを設定する際に必要なSSLサーバ証明書を発行してもらい、維持しなくてはなりません。

SSLサーバ証明書の発行や維持にかかる費用は、証明書の種類によっても異なりますが、より信頼性が高くなれば価格もあがります。具体的には、安ければ年間数千円程度、高いものだと年間数十万円近くする証明書もあります。

②手間がかかる

SSL導入前のhttpからはじまるサイトとhttpsからはじまるサイトは、さまざまな場面で別サイトという扱いとなります。ですので、アクセス解析ツール・ウェブマスターツールには、新しいURLで再設定が必要です。

くわえて検索エンジンには変更前のhttpからはじまるURLが登録されていたりお気に入りなどに登録しているユーザーもいたりすると考えられることから、http~に対するアクセスをhttps~側へリダイレクトする設定も必要です。

このようにSSL導入にはそれなりの手間がかかるため、計画的に対応を進めなくてはなりません

③ソーシャルボタンのカウントがリセットされる。

繰り返すように、仮にURLの違いがhttpかhttpsかだけでも、別サイトとみなされることがよくあります。

Twitter・Facebookなどのソーシャルボタンを利用している場合、URLの変更により、新たなサイトでのカウントとみなされ「いいね!」などのカウントがリセットされることになります。カウント数を引き継ぐことはできません。

5、SSLサーバ証明書と種類について

SSLサーバ証明書は、証明書によって確認・証明される内容によって、「ドメイン認証型」「組織認証型」「EV認証」の3種類があります。

証明される内容がより多く高度になるほど、SSLサーバ証明書の価格が高くなるため、サイトの利用用途や予算に応じた証明書を選ぶことが必要です。ここでは、それぞれの証明書の種類の概要について解説します。

(1)ドメイン認証型・Domain Validation

導入先サイトのURLに使われたドメインの登録名義のみを確認して発行される証明書です。最も安価(年間数千円程度~)な証明書でサイト運営者からすると扱いやすい反面、メイン認証型のSSLサーバ証明書で確認される内容だけでは、訪問者は必ずしも安心できない場合があります。

(2)組織認証型・Organization

ドメインの登録名義に加えて、サーバ証明書に記載された組織が法的に存在するかまで審査され確認できるタイプの証明書です。ドメイン認証型と比べ、サイトの信頼性がより高まります。

組織認証型の証明書は、フィッシングサイトの対策に適しているといわれています。フィッシングサイトとは、すでにある他のサイトのデザインなどを似せて作られた詐欺サイトのことで、ニュースにも取り上げられているためご存知の方も多いでしょう。

フィッシングサイトではクレジットカードの番号などの個人情報を不正に取得し、それが悪用されてしまう可能性があります。

ドメイン認証では、ドメイン部分しか確認されていないため、そのサイトが本物か偽物かまでは見分けることができません。その点、運営組織まで証明する組織認証型が導入されている方が信頼性は高いと言えます。

(3)EV認証・Extended Validation

組織認証型より詳細な審査が行われるサーバ証明書です。ドメインの所有者・運営組織の法的実在性の他、組織の所在地の確認など登記事項証明書による法的存在確認まで行います。

3つのタイプのなかで最も信頼度が高く、この証明書が導入されたサイトのアドレスバーには、サイトの運営組織の名前が表示されます。

ユーザーはアドレスバーをチェックするだけで、アクセス先のサイトの安全性を確認できるわけです。そのサイトが「なりすまし」ではないことも判断できます。

SSLサーバ証明書の価格は高くなるものの、サイトの用途や規模によっては導入が推奨されます。

6、SEOで上がる常時SSLのために必要な2つの手順

次に、サイトを常時SSLに対応させるために必要な手順の概要を簡単に解説します。常時SSLの設定前に確認してください。

①SSL化のための準備・サーバーチェック

サイトの公開に利用しているサーバが、SSLサーバ証明書に対応しているか確認する必要があります。

またSSLで公開する場合に、コンテンツはどこに設置するべきかも確認しておくことが必要です。またサイトを公開する本番のサーバ以外にテストサーバがある場合、テストサーバでも同じ設定が可能か確認しておきましょう。

SSLサーバ証明書は、お使いのサーバが対応していることを確認した上で購入しましょう。サーバによって対応するSSLサーバ証明書が異なります。レンタルサーバーであれば、サービスの提供元から指定のサーバ証明書を購入できる場合が多いです。

②ソースコードの修正

既存のコンテンツのHTML/CSSのソースコードを修正します。具体的には、常時SSL化するサイトにあわせて、HTML/CSSのソースコード(主にリンクやパスなど)を修正する必要があります

作業後、修正したファイルをサーバへアップし、httpsのURLで問題なく表示されるか確認してください。エラーが表示された場合は、修正後、改めてサーバへアップして確認します。

7、SSL化したらチェックすべき2つのポイント

次にSSL化後に確認すべきポイントを解説します。SSL化後に、チェックしてください。

①サイト内URLや画像URLなど、内部リンクをチェックする

サイトへ掲載した画像のURLがhttpのままになっていないか確認してください。

この場合完全にSSL化されていないとして、ユーザー数の多いブラウザ「Chrome」では警告が表示されてしまいます。画像のURLは、全てhttps:に変更しましょう

またサイト内の他ページへリンクを貼っていた場合、そのURLがhttpのままになっていないかも確認します。変更されていなければ、画像同様にhttps:へ変更します

②アナリティクスなど、連携しているツールの設定

Googleアナリティクスやアクセス解析などのツールを、サイトと連携させ利用している場合には、それらに登録したサイトのURLを「https://~」に変更します。

ここでは、Googleアナリティクス・Google サーチコンソールの変更手順を簡単に紹介します。

  • Googleアナリティクス
  1. サイドバーの「管理ボタン(歯車のマーク)」をクリック
  2. 管理のメニューの中から「プロバティ設定」をクリック
  3. 「デフォルトの URL」を「http://」→「https://」に変更
  4. 「保存」をクリック
  5. 同様に管理のメニューのなかから「ビューの設定」をクリック
  6. 「ウエブサイトのURL」を「http://」→「https://」に変更
  7. 「保存」をクリック

以上でGoogleアナリティクスの設定は完了です。

  • Google サーチコンソール

Googleサーチコンソールでは、「https://~」ではじまるURLを新規サイトとして追加登録する必要があります。サーチコンソールには以下4種類のURLを登録しておきます。

※サイトのURLをexample.jpとして

http://example.jp

http://www.example.jp

https://example.jp

https://www.example.jjp

サイトマップなども新たに登録しておいてください。

まとめ

2018年7月にリリースされた「Chrome68」より、SSLで保護されていないページを閲覧すると、アドレスバーに保護されていない旨の警告メッセージを表示させるようになりました。

サイトを訪れたユーザーがこの表示をみたら不安になってしまう可能性が高いです。なかには、ページの内容をみずに離脱してしまう可能性もあります。

SEOのためにも、サイトは常時SSLに対応させることが必要です。

この記事で解説したメリット・デメリットをふまえ、まだ常時SSL化を実施していないサイトの管理者様は、改めて常時SSL化の実行を検討ください。