ホームページのアドレスがhttpのままだと、ブラウザに「保護されていない通信」と警告が表示され、訪問者を不安にさせてしまいます。さらに、Googleは常時SSL化を推奨しており、https化されていないホームページは検索順位でも不利になります。つまり、https化は訪問者の安全を守るだけでなく、SEOの面でも欠かせない対策です。
この記事では、https化やSSLの基礎知識から、証明書の種類、具体的な対応方法、注意点までをまとめて解説します。
https化(SSL)とは
https化(SSL)とは、ホームページの通信を暗号化して安全にすることを指します。
通常、ホームページはhttpという仕組みでデータをやり取りしていますが、この状態では第三者に通信内容を盗み見られる危険があります。そこで、SSL(Secure Sockets Layer)という暗号化技術を導入し、ホームページのURLをhttpからhttpsに変えることで、訪問者とサーバー間の通信を保護します。
httpsの「s」はsecure(安全)の頭文字で、暗号化された安全な通信であることを意味しています。なお、現在は技術的にはSSLの後継であるTLS(Transport Layer Security)が使われていますが、一般的にはSSLという名称が定着しているため、本記事でもSSLと表記します。
https化されたホームページにはSSLサーバー証明書が発行され、ブラウザのアドレスバーに鍵マークが表示されるため、訪問者に安心感を与えることができます。
ホームページにhttps化(SSL)が必要な理由
ホームページにhttps化(SSL)が必要な理由は、訪問者の安全を確保しながら、ホームページの信頼性と集客力を高められるためです。
訪問者の個人情報を守れる
ホームページにはお問い合わせフォームや資料請求フォームなど、訪問者が名前や電話番号、メールアドレスを入力する場面があります。
SSLによる暗号化が行われていない状態では、これらの情報がそのまま送信されるため、悪意のある第三者に盗み見られるリスクがあります。万が一、個人情報が流出すれば、訪問者に被害が及ぶだけでなく、運営側の信用も大きく損なわれます。https化によって通信を暗号化すれば、送信される情報は解読できない状態で届くため、盗聴や改ざんを防ぐことができます。
訪問者に安心してホームページを利用してもらうために、SSLの導入は欠かせない対策です。
ブラウザの警告表示を防げる
SSLが導入されていないホームページにアクセスすると、Google ChromeやSafariなどの主要なブラウザでは、アドレスバーに「保護されていない通信」という警告が表示されます。
この表示はサイト自体が危険という意味ではありませんが、初めて訪れた方にとっては不安を感じる大きな原因になります。特に企業のホームページでこの警告が出ると、会社そのものの信頼性を疑われかねません。
https化を行えば、警告表示が消えて鍵マークが表示されるため、訪問者が安心してページを閲覧できるようになります。
SEOで有利になる
Googleは2014年にhttps化されているかどうかを検索順位の決定要因にすると発表しており、現在もSSL対応は推奨され続けています。
https化だけで検索順位が大幅に上がるわけではありませんが、同じ内容のページであればhttpsの方が優先的に評価される仕組みになっています。現在、大多数のホームページがすでにSSLに対応しているため、未対応のままでは他のホームページとの差が開く一方です。
検索経由での集客を考えるなら、https化はSEOの基本として対応しておくべき項目です。
SSLの種類
SSLの種類には、ホームページの運営者をどこまで審査するかによって3つの認証レベルがあります。費用や信頼性が異なるため、ホームページの目的に合わせて選ぶことが大切です。
ドメイン認証型(DV)
ドメイン認証型は、そのドメインを所有していることだけを確認して発行されるSSL証明書です。
書類の提出が不要で、オンライン上の確認だけで取得できるため、https化を手早く進めたい場合に適しています。費用も安く、個人事業主や中小企業のホームページで最も多く利用されているSSLの種類です。
ただし、運営者が実在するかどうかの審査は行われないため、信頼性の証明という点では他の種類に比べると限定的です。
企業認証型(OV)
企業認証型は、ドメインの所有権に加えて、運営している会社が法的に実在しているかどうかを審査した上で発行されるSSL証明書です。
登記事項証明書の確認や電話による実在確認が行われるため、第三者機関によってホームページの運営元が証明されます。
https化と合わせて企業としての信頼性を訪問者に伝えられるので、大企業のコーポレートサイトや中小企業のECサイトなど、個人情報や決済情報を扱うホームページで多く選ばれているSSLです。
EV認証型(EV)
EV認証型は、世界共通の厳しい審査基準をクリアした組織にのみ発行される最上位のSSL証明書です。
企業の実在証明に加えて所在地の確認なども徹底して行われるため、なりすましやフィッシング詐欺の防止に高い効果を発揮します。上場企業や大手のECサイトなど、https化による安全性を最大限に高める必要があるホームページで採用されています。
費用は高めですが、訪問者に対して最も高い信頼性を提供できるSSLの種類です。
主なSSLサーバー証明書
SSLサーバー証明書は発行する機関によって費用や特徴が異なります。中小企業や個人事業主のホームページでは、ドメイン認証型か企業認証型を選ぶケースが大半なので、ここではその2つに該当する代表的なSSL証明書を紹介します。
| サービス名 | 種類 | 特徴 |
| Let’s Encrypt | ドメイン認証型 | 無料で利用でき、多くのレンタルサーバーで標準機能として提供されています。自動更新にも対応しているため、費用をかけずにhttps化を始めたい場合の第一候補です。 |
| ラピッドSSL | ドメイン認証型 | デジサート社グループが運営する低価格のSSL証明書です。即日発行が可能で、書類の提出も不要なため、手軽に有料SSLを導入したい場合に適しています。 |
| GMOグローバルサイン クイック認証SSL |
ドメイン認証型 | 世界的に知名度の高いGMOグローバルサインが発行するSSL証明書です。ブランドの信頼性が高く、https化と合わせてホームページの安心感を高めたい場合に選ばれています。 |
| GMOグローバルサイン 企業認証SSL |
企業認証型 | 企業の実在性を審査した上で発行されるSSL証明書です。第三者機関による運営元の証明が加わるため、ECサイトやお問い合わせを重視するホームページに適しています。 |
ホームページをhttps(SSL)に対応する方法
ホームページをhttps(SSL)に対応するには、証明書の取得からサイト側の設定変更まで、いくつかの手順を順番に進める必要があります。
STEP1. SSLサーバー証明書を取得して設定する
https化の最初のステップは、SSLサーバー証明書の取得です。
利用しているレンタルサーバーの管理画面から申し込むのが一般的で、Let’s Encryptのような無料SSLであれば、ボタン一つで設定が完了するサーバーも多くあります。有料のSSL証明書を選ぶ場合は、認証局への申し込みと承認手続きが必要になりますが、ドメイン認証型であればオンライン上の確認だけで完了するため、早ければ即日でhttps化を進められます。
証明書の取得後はサーバーへのインストールが必要ですが、レンタルサーバーによっては自動で設定してくれるケースもあるので、利用中のサーバーのマニュアルを確認してみてください。
STEP2. ホームページの設定を変更する
SSLサーバー証明書の設定が完了したら、ホームページ内のURLをhttpからhttpsに書き換える作業が必要です。
具体的には、画像やCSS、JavaScriptなどの読み込み先がhttpのまま残っていると、httpsのページ内にhttpのコンテンツが混在する状態になり、ブラウザで警告が表示される原因になります。内部リンクについても同様で、httpで記述されたリンクがあればhttpsに変更するか、相対パスに書き換えるようにします。
WordPressを利用している場合は、管理画面のサイトURLとWordPress アドレスをhttpsに変更したうえで、本文中のURLもプラグインを使って一括で置換すると効率的です。
STEP3. httpからhttpsへのリダイレクト設定を行う
ホームページのSSL設定が完了しても、以前のhttpのURLがブックマークや外部サイトのリンクに残っている場合があります。
そのまま放置すると、httpでアクセスした訪問者はhttps化されていないページを表示してしまうため、httpへのアクセスを自動的にhttpsへ転送する301リダイレクトの設定が必要です。一般的には、サーバーの.htaccessファイルにリダイレクトの記述を追加することで対応できます。
レンタルサーバーによっては管理画面から設定できる場合もあるので、手動でファイルを編集する前にサーバーの機能を確認してみてください。
STEP4. 各種ツールの設定変更を行う
https化によってホームページのURLがhttpからhttpsに変わるため、利用している外部ツールの設定も更新する必要があります。
特にGoogleサーチコンソールでは、httpsのURLで改めてプロパティを追加しないと、正確なデータを取得できなくなります。Googleアナリティクスについても、プロパティ設定でURLがhttpsになっているかを確認してください。
そのほか、Googleビジネスプロフィールに登録しているURLや、SNSのプロフィール欄に記載したURLなども忘れずに変更しておくと、訪問者がどの経路からアクセスしても確実にhttpsのページが表示される状態を整えられます。
https化(SSL)に関する注意点
https化(SSL)は導入して終わりではなく、運用面でもいくつか気をつけておくべきポイントがあります。
SSL証明書の有効期限と更新を忘れない
SSLサーバー証明書には有効期限があり、期限が切れるとブラウザに警告が表示されて、訪問者がホームページにアクセスできなくなります。
Let’s Encryptの場合は有効期間が90日と短いため、自動更新が正しく動いているかを定期的に確認しておくことが大切です。有料のSSL証明書でも更新時期を見落とすとhttpsが無効になってしまうので、更新の通知メールを見逃さないように管理しておきましょう。
レンタルサーバーによっては自動更新に対応しているため、契約時に確認しておくと安心です。
混在コンテンツに注意する
httpsのページ内に、httpで読み込まれている画像やスクリプトが残っていると、混在コンテンツという状態になります。
この状態ではブラウザに警告が表示されたり、httpのコンテンツがブロックされて正しく表示されなかったりする原因になります。対応方法のセクションでも触れましたが、https化を行ったあとは、ページ内のすべての読み込み先がhttpsに統一されているかをチェックしてください。
ブラウザの開発者ツールを使えば、混在コンテンツがどこに残っているかを確認できます。
外部サービスや印刷物のURL変更を忘れない
https化するとホームページのURLがhttpからhttpsに変わるため、外部に掲載しているURLの変更も必要です。
Googleビジネスプロフィールやポータルサイトに登録しているURL、SNSのプロフィール欄などはすぐに変更できますが、見落としやすいのが名刺やチラシ、パンフレットなどの印刷物です。
リダイレクト設定をしていればhttpのURLからでも転送はされますが、印刷物を増刷するタイミングでhttpsのURLに差し替えておくと、訪問者に余計な不安を与えずに済みます。
まとめ
この記事では、https化(SSL)の基礎知識から、ホームページに導入が必要な理由、SSLの種類や主な証明書、具体的な対応手順、そして運用時の注意点までを解説しました。
https化は訪問者の個人情報を守り、ブラウザの警告表示を防ぎ、SEOにも良い影響を与える、ホームページに欠かせない対策です。現在では多くのレンタルサーバーで無料SSLが提供されており、以前に比べて導入のハードルは大きく下がっています。
まだ対応できていない場合は、まず自社のホームページのURLがhttpsで始まっているかを確認するところから始めてみてください。
