常時SSL化(https化)の価値や費用、設定方法の手順を解説

2014年頃から常時SSL化は推奨されてきましたが、2017年にはGoogle Chromeで「保護された通信」の表示が広まり、やっと必須に近い状況になってきました。それに伴い相談される機会も増えてきましたので、現在の状況について解説いたします。

サーバー管理の相談窓口
– プロのサポートは必要ですか?
※別ウィンドウで開くので、あとで読めます。

Outline

SSL化は何故必要なの?

http://で始まるURLのままだと、通信を傍受される危険性があり、フォーム送信の際にクレジットカード情報などの個人情報が盗まれる可能性があります。

その他にも、ユーザーがサーバーまでアクセスする間にサイトが改ざんされる可能性があります。悪質な事例ではありませんが、携帯電話の回線だと通信時に画像の画質を落とされるようなケースも絡んでくる事があります。

SSL化していないと、ブラウザによってはフォームを送信する時に「情報が漏洩する可能性があります」とアラートが出ることもあるので、ユーザーの離脱を回避するにはSSL化は必須とも言えます。

以前は、お問い合わせフォームだけ別のドメインでSSL化されたページを使うこともありましたが、昨今では無料のSSL証明書もあり、すべてのページをhttpsに変える常時SSL化が一般的となっております。

主な理由は「個人情報の保護のため」ということを念頭に置き、常時SSL化を検討してみてはいかがでしょうか?

無料のSSL証明書でも大丈夫?

SSL証明書は無料でも有料でも暗号化の強度において違いはありません。

ご契約中のサーバーによっては無料で使える「Let’s Encrypt」というSSL証明書に対応しているところもあります。

ガラケーに非対応だったり、サイトシールは使えませんが、維持費用がかからないので、とりあえず常時SSL化したいという方にはおすすめしております。

全ての人が無料のSSL証明書でいいかと聞かれると、状況により違うこともあるので、迷った場合はご相談ください。

有料のSSLを使うメリット・デメリット

ジオトラストやグローバルサインなど、名前が知られている有料のSSL証明書は、サイトシールを掲載することでユーザーからの信頼感を得ることができます。

しかし、証明書のインストールや更新の作業に手間がかかるので、個人サイトでは手を出さない方が無難です。

2020年9月からAppleがSSL証明書の有効期間を13か月に短縮するとのアナウンスがあり、それ以降に「有効期間が2年のSSL証明書」を契約する場合は、iPhoneのSafariで保護された通信として扱われない可能性があるので注意が必要です。

これはSSL証明書の有効期間は短ければ短いほど安全とされていて、有効期間が長すぎるものは証明書を取得した後に別の企業がそのまま証明書を利用できる懸念があるためです。

検索順位への影響は?

2014年8月にGoogleから「HTTPS をランキング シグナルに使用します」と発表がありました。

実際にはSSL対応しているかの1点のみを競合のサイトと比較する場合は、相対評価となるので、ほぼ標準といってもいいくらい広まった昨今では、現在の順位が大幅に上がるようなことはありません。

ただし、過去には上位を取れていたけど常時SSL化を行なっていないために順位が下がっている場合や、httpのまま検索順位が上がらずに滞ってる場合は、「本来の順位に戻る」ということはあるかもしれません。

「SEOを目的としてSSL化したい」というお声もよく聞きますが、あまり期待せずに顧客の情報保護を目的として検討した方が良いです。

検索結果への反映方法は?

ほとんどのサイトであれば数日から数週間で検索結果に表示されるURLが変更されます。自然なクロールに任せる場合は、すべてのページがhttpsに切り替わるまで3ヶ月程度かかることがあります。

サーチコンソールをご利用中の場合は、https://から始まるURLを新たに登録しなければ、検索順位などの情報を確認することができなくなってしまいます。

アクセス数への影響は?

正しい手順を踏んでhttpからhttpsへ301リダイレクトの転送処理を施せば、アクセス数への影響を与えず、Googleのインデックスを切り替えることができます。

しかし、httpsに切り替えたタイミングでサーチコンソールから再クロールを促進すると、そのタイミングでページの再審査が入り、順位の変動を起こす可能性があります。

また、変更時にミックスドコンテンツの修正ミスでリンク切れを起こしたり、設定の間違いで一時的にhttpに戻したりすると、順位の変動が起こる可能性はあります。

httpとhttpsの両方にアクセスできる時間を短くして、下手にクローラーを制御せず、自然に任せることで安全な移行ができます。

SSL対応方法の手順

大まかには以下のような流れとなります。HTMLやhtaccessの記述の知識が必要となります。WordPressを利用しているなど場合によってはphpを理解していないと対応は難しいです。

①SSL証明書のご契約

ご利用のサーバーにもよりますが、無料のSSLであれば、設定をオンにするだけで利用を開始することができます。
有料のSSLを利用する場合、申し込みから証明書のインストールまで少し複雑な手順を踏まなければなりません。
契約から利用開始までの段階では、現在のサイトには影響しないので、焦らず進めることができます。

②httpsの利用開始

サーバーの設定が完了すれば、httpsでアクセスできるようになるのでサイトを確認します。
この時点でhttpとhttpsの2つサイトがあるような状態になります。

③ミックスドコンテンツの修正

利用開始した時点ではhttpsとhttpが混在するミックスドコンテンツという状態なので、httpで読み込んでいる画像やスクリプトをhttpsに書き換えます。
Aタグのリンクについては転送処理するので、そのままでも大丈夫です。

④完全に切り替える前の動作チェック

ミックスドコンテンツの修正が終わったら、ブラウザで「保護された通信」で接続されているのを確認します。
念のためフォームなどのプログラムの動作チェックも行います。
WordPressを利用している場合は、この時点で一般設定のアドレスを書き換えます。

⑤httpでのアクセスをhttpsに転送

必ず301リダイレクト(恒久的に転送)を行います。
通常であれば下記のコードをhtaccessに追記すれば転送が完了します。
さくらサーバーでは「HTTPレスポンスヘッダー」の兼ね合いでエラーが発生するケースもあったので、サーバー環境によっては少し記述が変わってきます。

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

この時点でhttps化が完了します。サイト内のリンクや外部からのリンクが正常に繋がっているかを確認しておきましょう。

⑥https化の後にすること

全てが完了したらサーチコンソールにhttpsから始まるURLで新しく登録し直します。httpで登録してある分は削除せずに残しておきましょう。
Googleアナリティクス(GA4)は「データストリーム」から「ストリーム URL」のURLを確認しておきましょう。

混在コンテンツの原因を特定する方法

どの箇所が原因でミックスドコンテンツになっているかを調べるには、Google Chromeのデベロッパーツールを使うと簡単です。

SSL化の作業が完了したのにChromeのURL入力欄に「保護された通信」と表示されていないページを開き、メニューの「表示」にある「開発/管理」からデベロッパーツールを開くか、ページ上で右クリックして出てくるメニューから「検証」を選ぶとデベロッパーツールを開くことができます。デベロッパーツールの上部にあるタブから「Console」を選ぶと原因となっている箇所が表示されます。

英語ばかりなのでとっつきにくいかもしれませんが、右側に該当箇所がソースの何行目に記述されているかも書いてあるので、慣れたら簡単に原因を特定することができます。

常時SSL化が簡単なレンタルサーバー

プロバイダーがホームページ公開スペースとして提供するレンタルサーバーなど、ご利用中のサーバーによってはSSL化ができない場合もあります。また、有料のSSL証明書しか用意されていないこともあり、毎月の維持費を抑えたい場合はサーバーの移転を検討した方が良い場合もあります。

「Let’s Encrypt」など、無料のSSL証明書に対応しているレンタルサーバーならば、月額費用のみで常時SSL化されたサイトを維持することができます。 

ただし、「Let’s Encrypt」を利用しているサーバーから別のサーバーに移転する時に、「Let’s Encrypt」にしか対応していない場合は、一時的にhttpに戻して証明書を取得しなければならないケースも出てくるので注意が必要です。

SSL化の費用の目安

「読んでもわかんないよ!」という人は、httpで読み込まれている画像やスクリプトをhttpsに書き換えなければならないことだけ頭に入れて、誰かに相談することをオススメします。

数十ページのウェブサイトならば、フリーランスや個人に頼むと数千円から、専門の業者に頼むと5万円ほどで作業を行なってもらえます。

全てのページの書き換えや確認が必要となるので、サイトの規模によっては高くなる場合があります。

常時SSL化の代行について

私にご依頼いただく場合は、下記の情報をご確認のうえ、お問い合わせフォームよりご連絡ください。

  • ホームページのURL
  • ご利用中のサーバーやCMS
  • ご希望のSSL証明書(無料/有料)
  • 公開中のページ数(概算で結構です)

料金

品目料金・費用
基本料金30,000円(税別)
動作チェック10ページあたり
1,000円(税別)
テンプレート改修※要見積
常時SSL化の代行料金の目安

費用の目安は、基本料金として30,000円(税別)、公開済みのページの数から10ページあたり1,000円(税別で動作チェックを行っております。サイトの構造が複雑な場合や修正箇所が多い場合は別途お見積もりする場合がございます。

SSL証明書を持ち込みでサーバーにインストールする場合は代行を承っておりませんので予めご了承ください。ご自身でインストールを行いhttpsでアクセスできる状態までの作業を行える場合は対応可能です。


小規模チーム〜中小企業向け
サーバー管理相談窓口

創業時のITインフラの構築や、レンタルサーバーの選定など、サーバー管理のお困りごとがあればご相談ください。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
Outline