ブログ

まだSSL化してないの?今すぐ常時SSL化すべき理由

おはようございます。こんにちは。こんばんは。
かず編集長です。

ウェブサイトをお持ちの皆さん、SSL化、済んでますか?
SSL化していないとヤバイです。今、ウェブサイトをSSL化しておくべき理由とその方法をご紹介します。
少し専門的な話になるので、ウェブサイト運営者だけ見てくださいね。

そもそもSSLとは?

SSLとは何でしょうか。
簡単に言うと、ウェブサイトのページを暗号化することです。Secure Sockets Layerの頭文字です。

よく、サイトURLが「http://」からはじまるものではなく、「https://」からはじまっているサイトページを見たことがないでしょうか。
「s」が入るか否かの違いですが、前者(非暗号化)は情報をそのまま送受信するのに対し、後者は暗号化してデータを送受信します。

従来はお問い合わせフォームやショッピングカートなど個人情報を送信するようなページのみ部分的にSSL化することがほとんどでした。しかし近年、全ページをSSL化する動きが加速しています。なぜでしょうか。

SSL化すべき理由

近年、SSL化が進んでいる理由の最大の理由は、Google様が常時SSL化しているかどうかを検索エンジンのランキングアルゴリズムのシグナルの一つに採用すると発表したことにあります。
(2014年8月7日、Googleウェブマスター向け公式ブログにて発表。多くのサイトでHTTPからHTTPSに切り替えるよう促している)

少しでも検索エンジンで上位に表示されたい!と誰もが思いますから、全ページを常時SSL化する一般サイトが急増しました。

また、ウェブサイトを表示するブラウザGoogleChromeもHTTPページのままになっている非暗号化ページに対して警告表示するようになりました。
安心・安全なウェブサイトであることを示すためにも、早急にSSL化することが求められています。

弊社では、2016年7月1日までに運営するウェブサイトすべてをSSL化。ウェブサイトの新設や既存サイトのリニューアルを承る場合にはSSLすることが常識となっています。

SSL化のメリット・デメリット

ではSSL化にはどんなメリットやデメリットがあるのでしょうか。

SSL化のメリット

SSL化するメリットはこれまでも少し触れましたが、暗号化されることでサイトの信頼性が上がることや、SEO対策上では検索エンジンにおいて少し高く評価されるといったことが挙げられます。

暗号化:改ざん・盗聴を防ぐことができるので、アクセスしたユーザーの個人情報や行動履歴が守られる。特に公衆無線LANが普及している昨今このメリットは大きい。
信頼性:ユーザーは安心して閲覧し個人情報を入力することができるので、信頼できるサイトとみなされる。また、サイトの所有者もなりすましができないため信頼できるサイトとみなされる。最近のブラウザはHTTPサイト(非暗号化サイト)にアクセスすると警告表示するため、HTTPSにしておくことは最低限必要。
SEO対策:安心して閲覧できるコンテンツとして検索エンジンから評価される。上位表示したければ対策は必須。

SSL化のデメリット

逆にデメリットといえることとしては、サーバーへの負荷が少し多くかかるようになること、そしてSSL化にあたって費用が掛かるといったことが挙げられます。

SNSカウントを気にされる方なら、http:// と https:// は別URLとみなされ、SNSカウントがリセットされてしまう点がデメリットとなるでしょう。これまで積み上げてきたFacebookシェア数、TwitterRT数はゼロスタートとなるので、過去記事においては数字の低さが気になるかもしれません。

SSL化のデメリット
費用:導入するには費用が余計に掛かる(後述)。
移行作業の手間:HTTPからHTTPSへの移行にはコンテンツ内に修正が必要な場合が多い。
リセット:SNSのシェア・RTカウントがリセットされる。
サーバーへの負荷:暗号化や復号化を行うためサーバーにこれまで以上に負担がかかる。

SSL化するにはどうすれば?

では、SSL化するにはどうすればよいのでしょうか。Wordpressで運用しているサイトを例に、手順を簡単にご紹介します。

SSLサーバー証明書の発行

SSLサーバー証明書は3種類あります。認証レベルの低い順に、DV(ドメイン認証)、OV(組織認証)、EVです。

コスパを考えるならドメインに対して認証するDVがおすすめです。無料~数千円程度/年で取得できます。
企業なら登記簿謄本や印鑑証明といった書類によって認証されるOVがよいでしょう。
厳格な認証基準があるEVは、銀行や大企業などセキュリティ対策をしっかり行いたい場合くらいなので一般にはあまり関りがないと思います。

レンタルサーバーであればSSL化を申し込みできるページがあると思いますので、そこから希望の認証レベルを選んで申し込むのが簡単です。SSL認証が通ったら、サーバー側で手順に従って設定作業を行う必要があります。

混在コンテンツの対処

WordPressの場合は、「設定」>「一般設定」の「Wordpressアドレス(URL)」と「サイトアドレス(URL)」の二項目について設定変更が必要です。最初の「http://」を「https://」に変更します。

各ページ内には「http://」からはじまるURLと「https://」からはじまるURLが混在しないようにする必要があります。

特に内部リンクもチェックしておきましょう。大量のコンテンツがあって変更が大変!という場合には「Search Regex」という検索・置換プラグインを活用するのが賢明です(弊社では約3000記事ある北海道ファンマガジンの内部リンクの置換にこのプラグインを使用しました。バックアップはしっかりとって行いましょう)。

直面しやすい問題としては、ページ内の画像ファイルのURLがあります。ページのURLがSSL化していてもページ内の画像URLもSSL化していなければ混在コンテンツとみなされてしまいます。
解決法としては、「https://」からはじまるものではなく、「//」からはじまる絶対パスや「../」からはじまる相対パスにしておけば大丈夫です。この変更も、先に述べたプラグイン「Search Regex」で一括変更してしまうとよいでしょう。

リダイレクト設定

これまでHTTPでアクセスしてくれていた人たちを新URLに誘導しましょう。

これは「.htaccess」にリダイレクト設定の記述をすることで実現できます。下記をルートトップの「.htaccess」ファイルに追記します。

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

この設定をすることで、「http://」でアクセスしてきた人たち(Google検索ロボット含む)を「https://」からはじまるURLに瞬時に飛ばしてくれます。この設定をしないとせっかくアクセスしてくれた人たちがページを見られない事態になるので、しっかり行いましょう。

Googleサービスの設定変更

Google Search Console(旧ウェブマスターツール)やGoogle Analytics(アクセス分析)を使っている場合は、そのサービス側での設定変更が必要です。
Google Analyticsのほうは設定で変更が簡単に行えますが、Google Search Consoleは、従来のプロパティと別にいったんHTTPSでのプロパティを新規作成する必要があります。

SSL化はお任せください!

以上簡単ではありますが、SSL化のイロハからSSL導入までの流れをご紹介しました。
いまSSL化しておかないとはっきりいって損です。いずれURLが変わるなら早い方がいいです。

弊社では、SSLを標準装備したウェブサイト制作、既存の非暗号化サイトのSSL化も承っています。
SSL化には難しい作業、細かい作業が多いため、運営者側が行うのは困難を極めます。
しかし重要な作業。その部分だけでも弊社にお任せいただければと思います。

SSL化してみようかなー!と思った方はお気軽にお問い合わせくださいませ。

筆者について

かず

かず

北海道リレーション(株)代表取り締まられ役。道内179市町村を制覇した北海道観光マスター認定者として「北海道ファンマガジン」編集長を務めています。兄妹メディア「マカラボ」編集部見守り役もしています。