「常時SSL化のメリットは何?」「常時HTTPS化は絶対にやらなきゃいけないの?」と、

常時SSL化に疑問をお持ちの方も多いでしょう。

2019年10月にGoogleが常時SSL化されていないコンテンツをブロックすると発表したため、サイトのHTTPS化は必須のものとなりました。

そこでこの記事では、常時SSL化の5つのメリットと常時SSL化する際の注意点を解説します。

記事を最後まで読めば、常時SSL化するメリットをしっかりと理解でき、Googleからコンテンツをブロックされることはなくなるでしょう。

内容を簡単にまとめると…

  • 常時SSL化をすればセキュリティが向上する
  • 警告表示を回避できる
  • Web表示の高速化につながる
  • アクセス解析の効率化につながる
  • SEO対策にも有効

これら5点がポイントとなります。

それでは、以下で詳しく説明していきましょう。

そもそもSSL化(HTTPS化)とは

常時SSL化のメリットを知るうえで、そもそもSSLとはいったい何なのかを理解している必要があります。

まずは、SSL化の仕組みについて見ていきましょう。

すでにSSL化について知っているという方は、ここは飛ばしてメリットから読み進めてください。

SSLとは

SSLとは、インターネット上でデータを暗号化して送受信するプロトコル(仕組み)のことをいいます。

現在インターネットを利用したネットショッピングや新幹線、航空券、映画、コンサートのチケットの予約などが盛んに行われており、このような支払いにはクレジットカードを利用する例が増えてきています。

そのようなクレジットカード番号や口座番号、暗証番号は非常に重要な個人情報です。

SSLによって、インターネット上で送受信される個人情報や決済情報などの大切なデータを暗号化し、悪意ある第三者によるなりすまし・データの盗聴・改ざんから守ることができます。

SSLとHTTPS

HTTPSはHyper Text Transfer Protocol Secureの略で、インターネット上のHTTP通信をSSLで暗号化し、安全(Secure)な接続でHTTP通信ができるようにするプロトコルのことをいいます。

SSLはWeb通信以外のメールで使われる通信なども暗号化できるので、SSLとHTTPSは厳密には違う言葉ですが、通信を暗号化したいという意味では同じものであり、あまり区別せず使われているようです。

また、HTTPSが使われているWebサイトのURLは「https://」から始まるようになっており、ネットショッピングやインターネットバンキングをする際、そのWebサイトのアドレスが「https://」から始まっていれば、情報を安全にやり取りする仕組みが使われていると考えることができます。

HTTPSはSEO対策にもつながりますから、サイト運営者なら導入すべきといえます。

HTTPS通信の仕組み

SSLはインターネット上でデータのやり取りを暗号化する仕組みのことだといいましたが、暗号化通信はいったいどのようにして行われているのでしょうか。

HTTPSでは、「公開鍵暗号方式」で通信を確立し、「共通鍵暗号方式」で実際のデータをやり取りするという仕組みになっています。

「共通鍵暗号方式」は暗号化と復号に同じ鍵を使い、処理速度は速いが鍵の管理が困難という特徴があり、「公開鍵暗号化方式」は暗号化と復号に別々の鍵(公開鍵と秘密鍵)を使い、鍵の管理はしやすい(公開鍵は誰にでも渡すことができるため)が処理速度は遅いという特徴があるのです。

HTTPSは両者の欠点を補い利点を活かすため、このような方式をとっています。

HTTPS通信の流れは次の4つの段階に分けて考えることができるでしょう。

1.Webサーバーにアクセス
まず、クライアントがWebサーバーへHTTPSでアクセスします。
2.Webサーバーの「公開鍵」と「証明書」を送信
次に、Webサーバーは、Webサーバーの「公開鍵」と認証局の秘密鍵で暗号化されている「証明書」を送信しましょう。※公開鍵が正しいかどうかの確認には、認証局(CA:Certification Authority)と呼ばれる機関から発行された「証明書」を使います。クライアントは認証局の「公開鍵」で「証明書」を復号し、「公開鍵」がアクセスしたサーバーのものかどうかを確認してください。
3.共通鍵を公開鍵で暗号化して送信
クライアントが共通鍵暗号化方式の「共通鍵」を作成し、Webサーバーの「公開鍵」を使って暗号化して送信します。Webサーバーは、Webサーバーの「秘密鍵」で暗号を復号し、「共通鍵」を知ります。
4.共通鍵方式による暗号化通信が可能
1~3によって個人情報などの機密性の高いデータをクライアントが保持している「共通鍵」で暗号化してサーバー側へ送信し、Webサーバーは受け取った暗号データを「共通鍵」で復号してデータを取得できるようになるのです。

常時SSL化(HTTPS化)の5つのメリット

ここまでの説明で、SSL化する必要性とその仕組みを理解していただけたのではないかと思います。

しかし、SSL化にはそれ相応のコストと手間がかかるのに、なぜわざわざSSLをWebサイト全体に対応させる必要があるのでしょうか。

ここからは、コストと手間をかけても常時SSL化すべきである5つのメリットを解説していきます。

セキュリティの向上

1つ目のメリットは、通信情報が暗号化されるため、常時SSL化することでセキュリティが向上するということです。

例えば近年では、駅や空港、カフェなどで公共無線LAN(Wi-Fiなど)の設置が増えてきています。

公共無線LANは無料で使用でき便利な反面、通信を傍受しやすい環境にもあるので、もし通信が暗号化されていない状態であれば、中間者攻撃を受けやすくなります。

※中間者攻撃とは、通信しているユーザーとサーバーの間に第三者が介在し、ユーザーが気付かないうちに通信を盗聴したり改ざんしたりする手法を指します。

常時SSL対応することで、ユーザーがウェブサイトに訪問してから出ていくまでのすべてを暗号化できるので、こうした中間者攻撃のような悪意のある攻撃からも防ぐことができ、セキュリティが向上するのです。

警告表示を回避できる

常時SSL化を行うことにより、主要ブラウザの警告表示を回避できます。

Google Chromeでは2018年7月24日にリリースされたバージョン68より、すべてのHTTPページに対し「保護されていない通信」という警告の表示を開始しました。

さらに2018年10月16日にリリースされたバージョン70では、HTTP接続ページにあるフォームに入力しようとすると、「保護されていない通信」が赤く表示されるようになり、警告の度合いが強化されています。

また、Googleの「GoogleChrome」だけでなく、appleの「safari」やMozillaの「Firebox」も同様の警告を出しているのです。

SEO対策につながる

まず、Googleが2014年8月に「HTTPSをランキングシグナルとする」と発表している点が挙げられます。(参考:Googleウェブマスター向け公式ブログ

これに加え、最近では世界的な個人情報保護の意識の高まりと共に、ネットの利用者はどこで個人情報が漏洩するかわからないため、HTTPSでアクセスできないサイトにはブラウザーからの警告表示も影響し、アクセスしない傾向にあることがSEO的に大きく影響してきます。

現在のSEOではユーザー行動も検索結果に影響するため、検索結果上位に表示されたとしてもユーザーから避けられるサイト、またはすぐ直帰されてしまうサイトは、SEOの面ではマイナス評価となるのです。

SEO対策について詳しくは「SEO対策とは?」の記事をご覧ください。

Web表示の高速化

常時SSL化すると、Webページを高速表示させることができます。

以前は「HTTPSを導入すると高負荷がかかり、通信速度が低下する」といわれていました。

しかし、現在ではHTTPSを導入しても、現代のネットワークインフラやサーバ、PCのスペックではほとんど実感できないほどの差でしかありません。

また、常時SSL化することにより、HTTP/2というプロトコルを利用できるようになります。

HTTP/2とはHTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのウェブ表示を高速化するという目的で開発されたプロトコルです。

HTTP/2には、クライアントからサーバーに送信するヘッダ情報を圧縮できるため、送信されるデータ量を2~3割も削減できるという特徴があります。スマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きいでしょう。

そのため現在では、ウェブサイト表示の高速化にはHTTP/2は欠かすことのできないプロトコルといえます。

アクセス解析の効率化

もしこれまで、フォームのあるページや特定のページだけをSSL化するような設定を行っていた場合、常時SSL化するとURLがhttpからhttpsへと統一され、自分のWebサイトのアクセス情報を効率的に分析できるようになります。

リファラ情報を受け取れる

常時SSL化をすることで、Googleアナリティクスでリファラ情報を確認できるようになります。

リファラ情報とは、あるWebページのリンクをクリックして、別のページに移動したときのリンク元のページの情報のことです。

たとえば、ユーザがGoogleで検索した検索結果をクリックしてWebサイトに遷移した際、WebサイトがHTTPSであれば「Google検索から来たユーザ」としてアクセスログに残り、自社Webサイトの分析データとして蓄積させることができるのです。

逆に、HTTPサイトではSSL化されたサイトからのアクセスがあった場合、リファラ情報が暗号化により受け取れなくなるため、どこからウェブサイトを訪問したのかが不鮮明になってしまいます。

ただしSSL化で暗号化されたサイト同士のアクセスにおいては、リファラ情報が受け取れるため、常時SSL化によりリファラ情報がわかるようになるのです。

これにより、Googleのアナリティクスなどでの解析をさらに詳しくできるでしょう。

ユーザーがどこからどのような経緯でサイトを訪れているのかは、マーケティングにおいて重要な情報です。ユーザーの流入経路がわかるようになれば、集客やCVR率の改善などに役立てることができます。。

集約して分析が可能

常時SSL化すると、Cookieが保存され分析がしやすくなります。

一部のページだけHTTPS化した場合では、遷移する他のコンテンツがHTTPページのままではCookieが保存されず、別々のユーザーとして記録されてしまい、サイト内での行動が不鮮明になってしまうのです。

同じサイト内にHTTPページとHTTPSページを混在させず、すべてHTTPSに集約させることで、ユーザーが自社Webサイトでどのような行動を取ったかを効率よく分析できます。

すべてのWebページがHTTPS化していれば分析がシンプルになり、時短できるでしょう。

常時SSL化(HTTPS化)する際の注意点

ここまでで、常時SSL化には多くのメリットがあることがおわかりいただけたでしょうか。

実際に常時SSL化に取り組む前に注意しておきたいポイントを解説していきます。

SSL証明書・ライセンスの追加

問い合わせフォームやログインページなど、一部ページでSSL証明書を利用している場合も多くあります。

そういった場合には常時SSL化するにあたり、まずはSSL証明書を利用しているか確認する必要がありますが、簡単に確認するには、httpではなくhttpsでアクセスしてみるとすぐわかります。

SSL証明書がない場合は、httpsへのアクセス権限がない為、エラー表示になるからです。

もしエラー表示が出た場合は、SSL証明書を新しく取得しなければなりません。

ここで注意しておきたいのが、SSL証明書はコモンネーム単位で申請・発行されるので、同一ドメインでもサブドメインが異なる場合は、別コモンネームの扱いとなり、別途SSL証明書が必要になるということです。

ちなみにコモンネームとは、SSL暗号化通信を行うサイトのURLのうち、サブドメインまでを含んだドメイン部分のことをいいます。

また、一部のSSL証明書はサーバー台数分ライセンスが必要な場合があります。

その場合、現在利用しているSSL証明書と常時SSL化したいページで、コモンネームが一致していても、運用サーバーが異なる場合は、ライセンスの追加や別途SSL証明書の取得が必要です。

URLのケア

サイトをSSL化すると、URLが「http://~」から「https://~」に変わります。

このまま放置しておくと、インターネット上では別のURLとして扱われてしまうため、対策を講じなければなりません。

また、外部のWebサイトに記載されたリンクのURLが「http://」から始まるURLの場合、常時SSL化しURLが「https://」に変わった際に、リンク元からアクセスできなくなってしまいます。

そのため、HTTPで運用されているURLのケアが必要となるのです。

主な対策としては、リダイレクトとHSTSの設定が挙げられます。

リダイレクトの設定

リダイレクトとは、URLが変更となった際に変更前のURLから変更後のURLへ転送する設定のことです。

リダイレクトには301と302がありますが、301は恒久的な移転の際に、302は一時的・メンテナンスの際に使われることが多いです。

常時SSL化は一時的なものではないため、一般的に301リダイレクトの設定を行います。

301リダイレクトの設定方法は、対象サイトで利用しているWebサーバによって対応方法が異なります。

Apacheでは[.htaccessファイル]や[httpd.confファイル]でリダイレクトを行えます。

サーバーの設定によって記述方法が変わりますが、基本的には以下のような記述でリダイレクト設定ができます。

RewriteEngineonRewriteCond%{HTTPS}off

#アクセスがhttpsではない場合、

RewriteRule^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI}[R=301,L]

#アクセスしたURLのhttpをhttps://にしたURLへリダイレクト。

このような記述を.htaccessに追加することで、「http://~」へのアクセスを「https://~」へ自動的にリダイレクトされるようになります。

※なお、実際に301リダイレクトを行う際は、サーバー環境やCMS、その他プログラムなどが影響を受け、正常に動作しなくなる可能性もありますので、よく確認してから設定を行いましょう。

HSTS(HTTPStrictTransportSecurity)の設定

HSTS(HTTPStrictTransportSecurity)とは、HTTPSでアクセスするように、WebサーバーからWebブラウザへ働きかける機能のことをいいます。

HSTSが設定されたWebサイトに利用者がアクセスすると、そのWebサイトへの次回以降のアクセスにはHTTPSのみを使うようにWebブラウザに通知されるのです。そのため、次回からは利用者がそのサイトにHTTPでアクセスしても、WebブラウザがHTTPSのアクセスに自動変換してくれるという仕組みになっています。

この仕組みにより、ユーザーが常時SSL化されたWebサイトにHTTPでアクセスしてしまうことを減らせるのです。

注意点として、一度HSTSを設定した場合、何らかの問題が発生してもHTTPのサイトに戻すことは困難なため、HSTSの設定は慎重に行う必要があります。

また、HSTSにはWebサイトがHTTPSのみであることを事前設定しておく、プリロードHSTSという仕組みもあります。

プリロードHSTSとは、プリロードリストを元に、対応ブラウザでプリロードリストに登録のあるドメインサイトへアクセスを行う場合、初回のアクセスであっても、HTTPSでのアクセス行わせる仕組みです。

[.htaccessファイル]で設定する際に、includeSubDomains、preloadのパラメータも省略せずに記載を行うとともに、プリロードリストへ登録することで、機能させることができます。

この場合、情報がWebブラウザに埋め込まれ、一度目のアクセスからHTTPSのみが使われるようになるのです。

※ただし、一度プリロードHSTSに登録されると、証明書の更新を忘れて期限が切れてしまった場合など、HSTSやHTTPS接続を一時的に停止しHTTPで接続したい場合でも、HTTPSへ強制的にリダイレクトされてしまいます。サイト運営者にとっては不便な場合もあることから、登録には充分な注意が必要です。

SNSのカウントがリセットされる

常時SSL化の作業を行うと、URLがHTTPからHTTPSに変更され別サイト扱いになるので、各ページに設置されたFacebookのいいね数などのSNSボタン(ソーシャルボタン)のカウントがリセットされてしまいます。

これに対する直接的な対策はなく、この点は納得したうえで常時SSL化をしなければいけません。

混合コンテンツの回避

imgタグや、cssを読み込むリンク先などで「http://」で始まる絶対パスを使用し、一つのページ内でHTTPSとHTTPが混在する状態となった場合、混合コンテンツとなり、ブラウザによっては鍵マークが表示されない、あるいは警告が表示され利用者の混乱につながることがあります。

そのため、Webサイトの「http://」で始まっている箇所を「https://」に修正する作業が必要です。

混合コンテンツを避けるためには、内部リンクのURLを一律「https://」から始まる絶対パスに書き換えるか、絶対パスを相対パスに記述し直すという作業を行わなければなりません。

ソースコード上で混合コンテンツの原因となっている箇所は、ブラウザに搭載された開発者向けのツールを用いることで特定できます。

なお、外部リンクに関しては、HTTPのURLで記載していても、混合コンテンツとなることはありません。しかし、スタイルシートや画像ファイルを外部から読み込んでおり、それが設置してある外部のサーバーのURLがHTTPの場合は、混合コンテンツとなってしまいます。

この場合、読込先がHTTPSに対応していればURLを「https://~」に書き換え、非対応の場合には外部からの読み込みを中止する、外部にあるJavaScriptや画像などのリソースをダウンロードして自身が運営しているHTTPSに対応したサーバーへアップロードして再利用するなどの対策が必要です。

関連ツール(外部連携サービス)の設定変更

WEBサイト運営者の多くの方が「Google Analytics」や「Google Search Console」などのツールや外部連携サービスを利用しているでしょう。使用しているツールによっては登録しているURLを「http://」で始まるものから、「https://」で始まるURLに変更する必要がある場合があります。

拡大する常時SSL化(HTTPS化)の流れ

Googleの全HTTPページに警告ラベルが常時表示されるなどの対応を受けて、ここ数年でサイトの常時SSL化の流れが大きくなっています。

常時SSL化は増加傾向にあり、feedtailorの「常時SSL化 調査レポート 上場企業サイト対応状況(2021年2月版)」によると国内全上場企業3751社のウェブサイトのうち常時SSL化対応サイトは 82.8%にも上っています。

今後はHTTP/2の普及や主要ブラウザの対応も相まって常時SSL化の流れはさらに加速され、現在の8割を超える常時SSL化の状況は、近い将来限りなく100%に近づくと予想されるでしょう。

まとめ:常時SSL化(HTTPS化)のメリット

今回は常時SSL化することのメリットについて解説しました。

このページのポイントは以下のとおりです。

  • 常時SSL化は中間者攻撃の脅威から逃れ、セキュリティを向上させる
  • Google Chromeをはじめとする主要ブラウザの警告表示を回避できる
  • SEOにつながる
  • HTTP/2によりウェブ表示の高速化を図れる
  • リファラ情報の取得と集約されたデータ分析により、アクセス解析の効率がよくなる

常時SSL化はユーザーとWebサイトの運営者の双方にとって大きなメリットがあり、必須の対応であるといえるでしょう。

「今まで対応が面倒」と思って避けてきた人も、多くのメリットに気がつけば「すぐに対応しなければ」といった気持ちになるのではないでしょうか。

この記事を参考として常時SSL化を行ってみてください。

監修者コメント

2021年3月23日、Googleクロームの公式ブログにて「chrome90((2021/4/13リリース)からhttpsでのアクセスをデフォルト設定にする」と報告がありました。(参考:Chromium Blog

これまでドメインだけをアドレスバーに入れると、http://を自動で付けてアクセスしていた設定をhttps://に変更するという報告になるのですが、このことからもセキュアなSSL通信は今や世界的に常識なレベルまで来ています。

恐らくSSLの設定を行われていないサイトは、今後より避けられるサイトになることが予想出来ますし、避けられてアクセスされないサイトはSEOの視点からみてもマイナスのため、httpsでアクセス出来ない場合、まずはこちらのページに記載されている内容を確認し、常時SSL化の設定を行いましょう。

監修 SEOINFO

監修者:奥崎 宏(SEOINFO監修|奥崎宏@nexer,inc

(株)NEXER(取締役)の技術責任者(SEO業務やWEBのシステム開発に携わる)
アフィリエイトをきっかけにSEOを学び、SEO会社に転職。
これまで数々のカスタマイズを手掛け、現在はSEO歴13年以上。
特に順位変動の分析を得意とし、自身監修のSEOINFOにて分析結果を報告している。
SEOINFO:https://seoinfo.jp/

上位表示を諦めていませんか?

\取引実績3,000社のNEXERが提供するSEO/

サービス詳細を見てみる