本ページでは、「常時SSL」についての概要、導入するメリット・デメリットを整理しています。
これから新たにサイトを立ち上げる方は、必ず常時SSLに対応させるようにしましょう。後から対応させる場合にはリスクが伴いますし、新規サイト作成の場合、対応させない理由は見当たりません。
また既存サイトが常時SSLに対応していない場合、今すぐやる必要性は低いですが、業界動向からすると対応しないデメリットの方が今後大きくなると見込まれるため検討の上、進めていただければと思います。
▼動画でご覧になりたい方はこちら
目次
常時SSLとは何か
常時SSLとは、ウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。
これまでは個人情報を入力する商品購入ページ、お問い合わせフォームページ等、重要な情報をやり取りするページでのみ通信を暗号化する方法が用いられてきました。
しかしこれを、ウェブサイト内のすべてのページに広げようというのが、常時SSLです。
つまり、一般のコンテンツページも「https://」にしていこうよ!ということですね。
常時SSLを導入するメリット
常時SSLを導入メリットについてご紹介します。
基本的には、サイトの信頼性、セキュリティが問われることが多い企業コーポレートサイト、ECサイトにおいてはメリットがとても大きいです。
具体的メリットを挙げます。
- Webサイトを安全に利用できる(フォームに入力する名前やパスワード、クレジットカード番号といった個人情報の授受を暗号化できるため)
- Webサイトへの信頼性向上
- 訪問者に安心感を与えることができる(安全であることが一目で分かる)
- SSL対応サイトがSEO的に評価される(2014/8にGoogleが発表済)
- アクセス解析精度向上(同じサイト内でhttpsからhttpに遷移した場合、リファラー情報を取得できない問題を解消できる)
常時SSLを導入するデメリット
まず、常時時SSLを導入することにおける、訪問者へのデメリットはありません。
但し、既に公開済みの常時SSL未対応サイトにおいては、導入によるデメリットがあります。
- Googleからは別URLと認識され、サイト評価がリセットされる(301リダイレクトで回避可能)
- ソーシャル系ボタンのカウントがリセットされる(これは回避できない)
常時SSLを導入しないことのリスク
常時SSLを導入しないことへのリスクは、以下の通りです。
- ログイン情報・決済情報を盗まれる可能性
- Cookieへの不正アクセス、盗み見の可能性(なりすますことで権限のないコンテンツを閲覧したりできる)
- ログイン情報・決済情報が盗まれ深刻なダメージを負う
- 悪者から"標的"にされる
有名企業・団体等における常時SSL化の動き
Googleが2012年3月に検索サイトを常時SSL/TLS化したのをはじめとして、FacebookやTwitter、YouTube、Netflixといった大手Webサービスが常時SSLを採用しています。
他にも、常時SSL化を先行してい実施している企業は多くあります。
- Microsoft
- Paypal
- 野村ネット&コール
- シマンテック
- Amazon
有名どころは当たり前のように常時SSLにしています。
最近では、一般ブログでさえも常時SSLに移行しており、サイトを新規作成する場合は常時SSLを採用しない理由は見当たりません。
原則、新規サイト作成の際は、常時SSLでサイトを作りましょう。
インターネットに占めるHTTPSトラフィック推移
Webトラフィックの分析結果を提供している「HTTP Archive」によると、HTTPSのやり取りが占める割合は年々増加しています。GoogleがHTTPSを推奨し、他の企業も後を追う形で追随しているため、この流れは今後も加速するものと予想されています。
Google Chromeは、http(非暗号化)ページに不利な表示を進めている
Googleが提供するインターネットブラウザ「Google Chrome」では、http(非暗号化)ページに不利な表示を進めています。これも、常時SSLを促す狙いがあると言われています。
上記は千葉銀行のサイトをChromeで見た場合の画面キャプチャーです。
URL左にある丸いアイコンをクリックすると、「このサイトへの接続は保護されていません」と表示されてしまいます。
アイコンをクリックしなければ、これを見る機会はないのでたいした問題はないのですが、こういった形でGoogleは軽微な警告を出しています。
※なお、2020年10月に確認したところ、千葉銀行はSSLに対応していました。ですので上記画像は未対応だった当時の画像になります。
Google Chromeは、https(暗号化)ページに「保護された通信」表示を開始
一方、常時SSL対応サイトについては、安全であることが分かる表示をしています。ブラウザ利用者はこの表示を見て、訪問したサイトが安全であるかの目安として活用できるようになっています。
上記は、住宅ローンサイトの画面キャプチャーです。
常時SSLに対応したサイトの場合、URL左側に緑色の文字で「保護された通信」と表示されます。最近は多くのサイトがこの表示になってきました。
一般ユーザーの認知が進めば、将来的にこれが普通になり、反対に「保護された通信」と書かれていないと違和感を感じるようになると思います。
常時SSLを導入すべきか?
- ウェブサイトは、ユーザーの安全を守ることを第一に考えて、常時SSL導入に向けて動き出すのが妥当
- 遅かれ早かれ、常時SSLは一般化することが予想されるのでその点も踏まえて具体的検討が必要
常時SSL導入方法(一般例)
これからご紹介するのは、常時SSL導入の一般的な方法です。
常時SSLは、単にhttpからhttpsに変わるだけではありません。GoogleはURL変更と認識するのできちんとした「手順」を踏まないと、評価の引き継ぎができずに、収益が突然ゼロになるリスクもあります。
必ず、以下の手順で実施する必要があります。
1.http→httpsへ301リダイレクトの設定
2.Google Search Consoleにてhttps用のプロパティ作成
3.XMLサイトマップをhttpsのURLで作成、SearchConsoleから送信
Search ConsoleからGoogleに直接働きかけましょう。
4.リンクの否認申請をしている場合にはhttps側でも送信
5.内部リンクをhttpsに書き換える
サイト内のリンクパスが絶対パスの場合は、httpsに書き換えましょう。相対パスなら問題無いです。
6.メルマガ内容・署名などに記載しているURLをhttpsに書き換える
メルマガの自動配信をしている場合は、メール文章のURLを書き換えましょう。また、Eメールの署名もhttpsに書き換えましょう。
エックスサーバーでSSLを導入する方法
エックスサーバーでは、無料でSSLの導入が可能です。サーバーパネルにログインをして数クリックするだけで適用できます。
※しかし、SSLに切り替えるのが簡単と言っても、上記の手順は踏む必要があります。また常時SSL導入によるメリット・デメリットは、本ページ前半のコンテンツをよく読んだ上で対応しましょう。
こちらもあわせてご覧ください。
サーバーパネルにログイン
サーバーパネルにログインし、「SSL設定」に進みます。
ドメイン選択画面
今回、SSLを導入したいドメインを決めて、「選択する」をクリックします。
SSL設定決定
画面上部の「独自SSL設定の追加」タブを開きます。
次に「独自SSL設定を追加する(確定)」をクリックします。
以上で常時SSLの適用は完了です。サーバー設定が反映されるまで最大1時間程度かかります。
まとめ
常時SSLの概要、導入するメリット・デメリットについて整理しました。
これからサイトを新規作成する際は、必ず常時SSLにしましょう。
既存サイトを常時SSLに移行する際は、ページ評価を受け継ぐ必要がありますので(そうでないとサイトの評価がゼロになってSEO不利ですし、アフィリエイト報酬もゼロになる可能性があります)、正しい手順で常時SSLに移行する必要があります。
移行方法については、私のサイトよりも具体的で詳しいサイトが多く存在するので、そちらを参照していただければと思います。
最後までお読みいただきありがとうございました!
