常時SSLって何?導入メリット・デメリット、導入しないリスク

常時SSLって何?導入メリット・デメリット、導入しないリスク

本ページでは、「常時SSL」についての概要、導入するメリット・デメリットを整理しています。

これから新たにサイトを立ち上げる方は、必ず常時SSLに対応させるようにしましょう。後から対応させる場合にはリスクが伴いますし、新規サイト作成の場合、対応させない理由は見当たりません。

また既存サイトが常時SSLに対応していない場合、今すぐやる必要性は低いですが、業界動向からすると対応しないデメリットの方が今後大きくなると見込まれるため検討の上、進めていただければと思います。

▼動画でご覧になりたい方はこちら


常時SSLとは何か

常時SSLとは、ウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。

これまでは個人情報を入力する商品購入ページ、お問い合わせフォームページ等、重要な情報をやり取りするページでのみ通信を暗号化する方法が用いられてきました。

しかしこれを、ウェブサイト内のすべてのページに広げようというのが、常時SSLです。

つまり、一般のコンテンツページも「https://」にしていこうよ!ということですね。

常時SSLを導入するメリット

常時SSLを導入メリットについてご紹介します。

基本的には、サイトの信頼性、セキュリティが問われることが多い企業コーポレートサイト、ECサイトにおいてはメリットがとても大きいです。

具体的メリットを挙げます。

常時SSL導入メリット(対、訪問者)
  • Webサイトを安全に利用できる(フォームに入力する名前やパスワード、クレジットカード番号といった個人情報の授受を暗号化できるため)
常時SSL導入メリット(対、サイト運営者)
  • Webサイトへの信頼性向上
  • 訪問者に安心感を与えることができる(安全であることが一目で分かる)
  • SSL対応サイトがSEO的に評価される(2014/8にGoogleが発表済)
  • アクセス解析精度向上(同じサイト内でhttpsからhttpに遷移した場合、リファラー情報を取得できない問題を解消できる)

常時SSLを導入するデメリット

まず、常時時SSLを導入することにおける、訪問者へのデメリットはありません。

但し、既に公開済みの常時SSL未対応サイトにおいては、導入によるデメリットがあります。

常時SSLを導入するデメリット(対、サイト運営者)
  • Googleからは別URLと認識され、サイト評価がリセットされる(301リダイレクトで回避可能)
  • ソーシャル系ボタンのカウントがリセットされる(これは回避できない)

常時SSLを導入しないことのリスク

常時SSLを導入しないことへのリスクは、以下の通りです。

常時SSLを導入しないことのリスク(対、訪問者)
  • ログイン情報・決済情報を盗まれる可能性
  • Cookieへの不正アクセス、盗み見の可能性(なりすますことで権限のないコンテンツを閲覧したりできる)
常時SSLを導入しないことのリスク(対、サイト運営者)
  • ログイン情報・決済情報が盗まれ深刻なダメージを負う
  • 悪者から"標的"にされる

有名企業・団体等における常時SSL化の動き

Googleが2012年3月に検索サイトを常時SSL/TLS化したのをはじめとして、FacebookやTwitter、YouTube、Netflixといった大手Webサービスが常時SSLを採用しています。

他にも、常時SSL化を先行してい実施している企業は多くあります。

常時SSL化を先行してい実施している企業
  • Microsoft
  • Twitter
  • Facebook
  • Paypal
  • 野村ネット&コール
  • シマンテック
  • Amazon

有名どころは当たり前のように常時SSLにしています。

最近では、一般ブログでさえも常時SSLに移行しており、サイトを新規作成する場合は常時SSLを採用しない理由は見当たりません。

原則、新規サイト作成の際は、常時SSLでサイトを作りましょう。

インターネットに占めるHTTPSトラフィック推移

インターネットに占めるHTTPSトラフィック推移

Webトラフィックの分析結果を提供している「HTTP Archive」によると、HTTPSのやり取りが占める割合は年々増加しています。GoogleがHTTPSを推奨し、他の企業も後を追う形で追随しているため、この流れは今後も加速するものと予想されています。

Google Chromeは、http(非暗号化)ページに不利な表示を進めている

Googleが提供するインターネットブラウザ「Google Chrome」では、http(非暗号化)ページに不利な表示を進めています。これも、常時SSLを促す狙いがあると言われています。

常時SSLに対応していないサイトの表示例

上記は千葉銀行のサイトをChromeで見た場合の画面キャプチャーです。

URL左にある丸いアイコンをクリックすると、「このサイトへの接続は保護されていません」と表示されてしまいます。

アイコンをクリックしなければ、これを見る機会はないのでたいした問題はないのですが、こういった形でGoogleは軽微な警告を出しています。

Google Chromeは、https(暗号化)ページに「保護された通信」表示を開始

一方、常時SSL対応サイトについては、安全であることが分かる表示をしています。ブラウザ利用者はこの表示を見て、訪問したサイトが安全であるかの目安として活用できるようになっています。

常時SSLの場合の表示例

上記は、住宅ローンサイトの画面キャプチャーです。

常時SSLに対応したサイトの場合、URL左側に緑色の文字で「保護された通信」と表示されます。最近は多くのサイトがこの表示になってきました。

一般ユーザーの認知が進めば、将来的にこれが普通になり、反対に「保護された通信」と書かれていないと違和感を感じるようになると思います。

常時SSLを導入すべきか?

  • ウェブサイトは、ユーザーの安全を守ることを第一に考えて、常時SSL導入に向けて動き出すのが妥当
  • 遅かれ早かれ、常時SSLは一般化することが予想されるのでその点も踏まえて具体的検討が必要

 

常時SSL導入方法(一般例)

これからご紹介するのは、常時SSL導入の一般的な方法です。

常時SSLは、単にhttpからhttpsに変わるだけではありません。GoogleはURL変更と認識するのできちんとした「手順」を踏まないと、評価の引き継ぎができずに、収益が突然ゼロになるリスクもあります。

必ず、以下の手順で実施する必要があります。

1.http→httpsへ301リダイレクトの設定

必ず切り替えタイミングと同時に301(恒久的なリダイレクト)を実施します。

2.Google Search Consoleにてhttps用のプロパティ作成

URLパラメータの再設定(httpで設定しているものと同様の設定をする)
直接評価には関係はないですが、移行が適切に行われているか確認するために必要です。移行が無事に進めば、iindex数のhttpは減り、httpsは増えます。

3.XMLサイトマップをhttpsのURLで作成、SearchConsoleから送信

Search ConsoleからGoogleに直接働きかけましょう。

4.リンクの否認申請をしている場合にはhttps側でも送信

SEO対策でリンク否認をしている場合は、httpsでも同じように否認しておきましょう

5.内部リンクをhttpsに書き換える

サイト内のリンクパスが絶対パスの場合は、httpsに書き換えましょう。相対パスなら問題無いです。

6.メルマガ内容・署名などに記載しているURLをhttpsに書き換える

メルマガの自動配信をしている場合は、メール文章のURLを書き換えましょう。また、Eメールの署名もhttpsに書き換えましょう。

エックスサーバーでSSLを導入する方法

エックスサーバーでは、無料でSSLの導入が可能です。サーバーパネルにログインをして数クリックするだけで適用できます。

※しかし、SSLに切り替えるのが簡単と言っても、上記の手順は踏む必要があります。また常時SSL導入によるメリット・デメリットは、本ページ前半のコンテンツをよく読んだ上で対応しましょう。

エックスサーバー

サーバーパネルにログイン

サーバーパネル > SSL設定

エックスサーバーのサーバーパネルにログインする

サーバーパネルにログインし、「SSL設定」に進みます。

ドメイン選択画面

SSLを適用させたいドメインを選択する

今回、SSLを導入したいドメインを決めて、「選択する」をクリックします。

SSL設定決定

独自SSL設定の追加ボタンを押す

画面上部の「独自SSL設定の追加」タブを開きます。

次に「独自SSL設定を追加する(確定)」をクリックします。

以上で常時SSLの適用は完了です。サーバー設定が反映されるまで最大1時間程度かかります。

エックスサーバー

まとめ

まとめ

常時SSLの概要、導入するメリット・デメリットについて整理しました。

これからサイトを新規作成する際は、必ず常時SSLにしましょう。

既存サイトを常時SSLに移行する際は、ページ評価を受け継ぐ必要がありますので(そうでないとサイトの評価がゼロになってSEO不利ですし、アフィリエイト報酬もゼロになる可能性があります)、正しい手順で常時SSLに移行する必要があります。

移行方法については、私のサイトよりも具体的で詳しいサイトが多く存在するので、そちらを参照していただければと思います。

最後までお読みいただきありがとうございました!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です