「あなたのWebサイトはSSL化されていますか?」
この記事は、上の質問に「ハテナ?」が浮かぶ方を対象にしています。
(やった方が良さそう。)と思っていたとしても、何をすることでどのような効果が期待できるのかが理解できないと、なかなか行動に踏み切れないのではないでしょうか?
Webサイトを持っている企業や個人で、Webサイトの信頼性を確保したいのでしたらSSL化は避けて通れない道です。
(よくわからないから後で良いや。)
と放置しておくと、Webサイトがうまく表示されなくなったり、検索順位が落ちてしまったりと危険が及ぶ可能性があります。
この記事ではSSL化とはどういうものか?やるべき理由とSSL化の方法をできる限り専門用語を省いて解説していきます。
目次
SSL化って何?
SSL(Secure Sockets Layer)とは、インターネット上のデータ送信を暗号化し、ユーザーの情報を保護する仕組みです。「Webサイトのセキュリティを強化するために施すもの」と捉えていただければOKです。インターネット上でやり取りされている情報は常に悪意ある第三者が狙っています。氏名や住所、メールアドレスやクレジットカード情報を盗み見て悪用しようと企んでいる人がいるのです。情報漏えい等の危険を防ぎ、サイト利用者の情報を守るために施すのがSSL化です。
セキュリティ強化と聞くと、ウイルスソフトのことを思い浮かべる方もいるかもしれませんが、ウイルスソフトはあくまで自分のパソコン・スマホの安全を守るものです。SSL化は私たちWebサイト管理者とユーザー(お客さん)とのやり取りを安全に進められるようにするものなので、それぞれ役割が異なります。
SSL化が完了しているWebサイトはURLアドレスの冒頭が「https」と表記されます。また、SSL化が済んでいるWebサイトはURLアドレス入力欄の左脇に鍵のマークが出てきます。
↑SSL化されているとこのように表示されます。(画像)
↑SSL化されていない場合、このような警告が表示されます。(画像)
一方で、SSL化されていないWebサイトはhttpのままで、上部に「保護されていない通信」と表示されます。小文字の「s」と鍵のマークの有無という小さな変化ですが、利用者の安全を確保するためには大切なことです。ちなみに、WebサイトのすべてのページをSSL化することを常時SSLと呼びます。最近は常時SSL化する流れが主流になっています。
SSL化をするとどうなるのか?
SSL化は様々なメリットがあります。セキュリティ強化以外にも重要なメリットがあるので、Webサイトをビジネスに利用されている方は特に注目してください。
サイトの安全性が強化される
SSL化をすると、サイトの安全性が強化されます。SSLはWebサイトとユーザーのデータ通信を暗号化します。第三者はそのデータを盗み見たとしても暗号化されたデータなので悪用できません。これにより盗聴やなりすまし、改ざんなどのリスクを回避できます。
ユーザーからの信頼性を確保できる
商品購入やお問い合わせ、就職のエントリーなど、個人情報を入力する必要があるケースでは、SSL化による安全確保が特に大切です。現在は多くの企業でSSL化が進んでいるため、SSL化されていないサイトは目立ちます。SSL化を知っているユーザーが見れば(まだSSL化してないの?)と不安になり、知らないユーザーが見ても「保護されていない通信」という文言に怯え離脱する危険が高まります。SSL化をやっていなかったせいで、お問い合わせや注文の機会を失っている恐れもあるのです。安心して利用できるようにすることでビジネスの成功にもつながります。
SEO対策になる(検索順位に上がりやすくなる)
GoogleはSSL化を検索上位の決定要素に含めると発表しています。ただし、最近は多くの企業でもSSL化が施されているので、SSL化だけやれば順位が上がる!というわけではありません。今や「SSL化をしたから上がる」のではなく、「SSL化をしていないせいで上がらない・下がっている」と解釈するべきです。
SSL化の注意点
SSL化を進める際に注意すべきポイントが1つあります。SSLを導入すると、全ページがhttpからhttpsに変わります。一文字追加されただけですが別サイト扱いになります。そのため、企業サイトや名刺などに記載していたURL情報はSSL化した後に差し替える必要があります。また、Facebookのいいね数やシェア数などのカウントはリセットされてしまいます。この点だけは受け入れて、導入を進めるしかありません。
どうしたらSSL化できるの?
放置していても、星に願ってもSSL化はされませんので、今すぐSSL化の準備を始めていきましょう。
サーバーを確認する
すでにWebサイトを公開しているということは、サーバーを利用しているはずです。あなたのWebサイトはレンタルサーバーでしょうか?それとも自社サーバーでしょうか?この違いによっても手順や難易度が異なるので確認する必要があります。
レンタルサーバーを借りている場合は、契約しているレンタルサーバー会社の管理画面上で、指示やマニュアルに従って申し込みます。
SSL証明書を購入する
SSL化を実施するために、SSL証明書を購入しましょう。SSL証明書はWebサイト運営者の実在性を確認し、事業者とサイトを紐付ける電子証明書です。本人確認などを通じて、「このWebサイトは私のもの」であることを証明していきます。SSL証明書は、認証レベルに応じて3つの種類があります。事業規模や予算に合わせて選びましょう。
1.ドメイン認証型
個人やフリーランスでも登録できるSSLです。最も低価格で発行までのスピードも早いのが特徴です。難しい審査が不要で、オンラインでドメインの実在証明を行えばすぐに導入できます。キャンペーンサイトなど急いでSSL化したい場合にもおすすめです。
2.企業認証型
企業・団体しか登録できないSSLです。企業や団体が本当に存在しているのか、登記簿謄本や電話確認等を通じて審査されます。発行されるSSLには企業情報が表示されるので、なりすましのリスクも回避できます。
3.EV認証型
最も厳格なSSLがEV認証型です。企業の実在証明だけでなく、物理的な実在証明や書類提出が行われます。認証されるとアドレスバーが緑色に変わり、SSL化されていることが一目でわかるようになります。グローバル企業のサイトや官公庁のサイトで利用されることが多いSSLです。
URLの修正
SSL証明書の発行が完了したらインストールを行っていきます。インストールを終えたらhttpからhttpsに置き換える作業に移ります。この作業をする前に必ずファイルやデータベースのバックアップを取っておき、もしもの時に戻せるように準備しておきましょう。CSSファイルやJavascriptなどの外部ファイルのURLや内部リンク、画像などがhttpのまま変更されていない場合があるので、1つずつhttpsになっているか確認してください。
301リダイレクトを設定する
httpからhttpsへ301リダイレクトさせていきます。簡単に言うと、万が一httpのサイトにアクセスしてしまったユーザーを、httpsのサイトに転送させる設定のことです。301リダイレクトが行われていないとhttpのサイトとhttpsのサイトが別物として扱われてしまい、httpのサイトにあったSEO効果を引き継げなくなってしまいます。以前のサイトのパワーを受け継ぐために必要な作業なので必ず行ってください。リダイレクトのURLはしっかり前後でペアになるようにして、漏れがないように気をつけましょう。
Search ConsoleやGoogle Analyticsへの登録
httpsの運用が始まったらSearch ConsoleやGoogle Analyticsの連携を行います。アカウントのhttpになっている箇所をhttpsに変更してください。
最終チェック!
作業が終わったら改めてすべてのURLをチェックして抜け漏れがないか確認しましょう。サイト内にリンクやcanonicalタグを使用した箇所が残っていることもあるので慎重に行ってください。SNSやブログのプロフィール欄や名刺・パンフレットのURLは、リダイレクト設定がされていれば転送されますが、気になる方は変更しておきましょう。
SSL化は必須!早めの対策を
今回のこの解説でも「正直よくわからない・・・。」という方は、お使いのサーバー管理会社やWeb制作会社などに問い合わせてみてください。必要な情報や、やるべき項目を教えてくれるはずです。なお、株式会社Revision(リビジョン)でも常時SSL化作業の代行サービスを提供しています。手間のかかるSSL化作業を確実に済ませたい方は、ぜひご検討ください。
「やった方が良い」という段階は過ぎ、「やっていないと損をする」段階まで来ています。ゆくゆくはSSL化されていないhttpのサイトはGoogleで表示されなくなってしまう恐れがあります。サイトの利用者が安心して利用するためにも必要な作業ですので、しっかり進めていきましょう。
誰もが使いやすく、信頼できるWebサイト作りを進めていきましょう。