常時SSL化(HTTPS化)のメリットとは?

常時SSL化(HTTPS化)のメリットとは?

「常時SSL化のメリットは何?」「常時HTTPS化は絶対にやらなきゃいけないの?」と疑問をお持ちの方も多いと思います。

2019年10月にGoogleが常時SSL化されていないコンテンツをブロックすると発表したため、サイトのHTTPS化はメリットがあるものから必須のものとなりました。

そこでこのページでは、 日本最大級のマーケティングメディアであるWeb Reach編集部メンバーの筆者が以下のことを解説していきます。

  • 常時SSL化の5つのメリット
  • 常時SSL化する際の注意点

このページを読めば、常時SSL化するメリットをしっかりと理解でき、Googleからコンテンツをブロックされるということが無くなるでしょう。

内容を簡単にまとめると・・・

  • 常時SSL化をすれば、セキュリティの向上が出来、警告表示を回避できる
  • 更にWeb表示の高速化やアクセス解析の効率化に繋がる
  • 加えて、SEO対策にもつながる
  • 他にもSEO対策をしたい方はsmartASPがおすすめですsmartASPを用いればウェブサイト運営は今より更に効率化される
  • なぜなら、smartASPは客観的な数字を元に修正すべき記事を抽出してくれるため、SEO知識に自信がないという人でも本格的なSEO対策が可能
  • また、競合分析も効率化してくれるため、非常に便利
  • 無料なのでまだ使っていない人は1度使ってみましょう
smartASPの公式サイトはこちら

\今なら完全無料!/

そもそもSSL化(HTTPS化)とは

そもそもSSL化(HTTPS化)とは

常時SSL化のメリットを知るうえで、そもそもSSLとはいったい何なのかを理解している必要があります。

まずは、SSL化の仕組みについてざっくり見ていきましょう。

すでにSSL化について知っているという方は、ここは飛ばしてメリットから読み進めてください。

SSLとは

SSLとは、インターネット上でデータを暗号化して送受信するプロトコル(仕組み)のことを言います。

現在インターネットを利用したネットショッピングや、新幹線や航空券、映画やコンサートのチケットの予約などが盛んにおこなわれており、このような支払いにはクレジットカードを利用する例が増えてきています。

そういった、クレジットカード番号や口座番号、暗証番号は非常に重要な個人情報です。

SSLによって、インターネット上で送受信される個人情報や決済情報などの大切なデータを暗号化し、悪意ある第三者によるなりすまし・データの盗聴・改ざんから守ることができます。

他にもSSL化について詳しく知りたい方は「SSL化とは?」の記事をご覧ください。

SSLとHTTPS

HTTPSはHyper Text Transfer Protocol Secureの略で、インターネット上のHTTP通信をSSLで暗号化し、安全(Secure)な接続でHTTP通信が出来るようにするプロトコルのことを言います。

SSLはWeb通信以外のメールで使われる通信なども暗号化することができるので、SSLとHTTPSは厳密には違う言葉ですが、通信を暗号化したいという意味では同じものであり、あまり区別せず使われているような印象があります。

また、HTTPSが使われているWebサイトのURLは「https://」から始まるようになっており、ネットショッピングやインターネットバンキングをする際、そのWebサイトのアドレスが「https://」から始まっていれば、情報を安全にやり取りする仕組みが使われているのだなと考えることができます。

HTTPSについてわかっていただけたでしょうか。

加えてHTTPSはSEO対策にも繋がり、やらない手はありません。

また、他にもSEO対策をしたい方にはsmartASPがおすすめです。

smartASPはウェブサイト運営者のために開発された無料の便利ツールです。

smartASPを使えば、あなたのサイトは以前より更に魅力的なものになるでしょう。

なぜなら、自動でサイト分析をし、修正すべき記事を抽出してくれるだけでなく、SEOで最重要と言っても過言ではない内部リンクを可視化できるからです。

無料なので今すぐ登録しましょう。

smartASPの公式サイトはこちら

\今なら完全無料!/

HTTPS通信の仕組み

HTTPS通信の仕組み

SSLはインターネット上でデータのやり取りを暗号化する仕組みのことだといいましたが、暗号化通信はいったいどのようにして行われているのでしょうか。

HTTPSでは、「公開鍵暗号方式」で通信を確立し、「共通鍵暗号方式」で実際のデータをやり取りするという仕組みになっています。

「共通鍵暗号方式」というのは、暗号化と復号に同じ鍵を使い、処理速度は速いが鍵の管理が困難という特徴があり、「公開鍵暗号化方式」というのは暗号化と復号に別々の鍵(公開鍵と秘密鍵)を使い、鍵の管理はしやすい(公開鍵は誰にでも渡すことができるため)が処理速度は遅いという特徴があります。

HTTPSは両者の欠点を補い利点を生かすためこのような方式をとっています。

HTTPS通信の流れは次の4つの段階に分けて考えることができます。

①Webサーバーにアクセス

まず、クライアントがWebサーバーへHTTPSでアクセスします。

②Webサーバーの「公開鍵」と「証明書」を送信

次に、Webサーバーは、Webサーバーの「公開鍵」と認証局の秘密鍵で暗号化されている「証明書」を送信します。

※公開鍵が正しいかどうかの確認には、認証局(CA: Certification Authority)と呼ばれる機関から発行された「証明書」を使います。

クライアントは認証局の「公開鍵」で「証明書」を復号し、「公開鍵」がアクセスしたサーバーのものかどうかを確認します。

③共通鍵を公開鍵で暗号化して送信

クライアントが、共通鍵暗号化方式の「共通鍵」を作成しWebサーバーの「公開鍵」を使って暗号化して送信します。

Webサーバーは、Webサーバーの「秘密鍵」で暗号を復号し、「共通鍵」を知ります。

④共通鍵方式による暗号化通信が可能

①~③により、個人情報などの機密性の高いデータを、クライアントが保持している「共通鍵」で暗号化しサーバ側へ送信し、Webサーバーは受け取った暗号データを「共通鍵」で復号してデータを取得することができるようになります。

常時SSL化(HTTPS化)の5つのメリット

常時SSL化(HTTPS化)の5つのメリット

ここまでの説明で、SSL化する必要性とその仕組みを理解していただけたのではないかと思います。

しかし、SSL化にはそれ相応のコストと手間がかかるのに、なぜわざわざSSLをWebサイト全体に対応させる必要があるのでしょうか。

ここからは、そんなコストと手間を払っても常時SSL化すべきである5つのメリットを解説していきます。

(1)セキュリティの向上

1つ目のメリットは、常時SSL化することでセキュリティが向上するということです。

しかしここで、個人情報やクレジットカード情報を受け渡しするページ以外のすべてのWebページをSSLにする必要ないんじゃないの?と疑問に思われる方もいるかもしれません。

実は個人情報やクレジットカード情報を受け渡しするタイミング以外でも、ユーザーが攻撃されるケースもあるため必要性は大きいのです。

最近駅や空港、カフェなど公共無線LAN(Wi-Fiなど)が増えてきています。

こういったものは無料で使用できる便利な反面、通信が暗号化がされていないため、中間者攻撃という脅威にさらされています。

中間者攻撃とは、通信しているユーザーとサーバーの間に第三者が介在し、ユーザーが気付かないうちに通信を盗聴したり、改ざんしたりする手法のことを言います。

常時SSL対応することで、ユーザーがウェブサイトに訪問してから出ていくまで、すべてを暗号化できるので、このような攻撃を防ぐことができるようになります。

(2)警告表示を回避できる

常時SSL化を行うことにより、主要ブラウザの警告表示を回避することができます。

Google Chromeでは、2018年7月24日にリリースされたバージョン68より、すべてのHTTPページに対し「保護されていない通信」という警告の表示を開始しました。

さらに、2018年10月16日にリリースされたバージョン70では、HTTP接続ページにあるフォームに入力しようとすると、「保護されていない通信」が赤く表示されるようになり、警告の度合いが強化されています。

また、Googleの 「Google Chrome」だけでなく、appleの「safari」やMozillaの「Firebox」も同様の警告を出しています。

(3)SEO対策につながる

常時SSL化はSEO対策にもつながります。

2014年の8月にGoogleがHTTPSの仕様が検索順位に影響するということを公式に発表しました。

(参照:Webマスター向け公式ブログ

また、一つのページ内でHTTPSとHTTPが混在する状態となった場合、混合コンテンツ(mixed content)という状態となり、ブラウザによっては鍵マークが表示されなかったり、警告が表示され利用者の混乱につながることがあります。

2019年10月3日には段階的に混合コンテンツをブロックするという記事がGoogleの公式ブログで発表され、混合コンテンツを回避する必要性が一気に高まっています。

※具体的な混合コンテンツの回避方法は後ほど解説します。

(参照:Google security blog

この記事によると、2019年12月にリリース予定の

Chrome79から段階的にブロックを開始し、2020年2月にリリース予定のChrome81以降では、混合コンテンツを標準でブロックし、SSL化されていない画像などは表示されなくなります。

正常に表示されていないサイトでは直帰率が大幅に上がり、SEOの面で大幅なマイナスとなるでしょう。

Webサイトを常時SSL化することにより、Googleなどの検索エンジンから「ユーザーが安心して利用できる優良なコンテンツである」と評価されることで、SEOで優遇してもらえるようになるのです。

SEO対策について詳しくは「SEO対策とは?」の記事をご覧ください。

また他にも、本格的なSEO対策をしたいという方にはsmartASPという無料のツールがおすすめです。

smartASPはウェブサイト運営者のために開発された無料ツールです。

smartASPを用いればウェブサイト運営は今より更に効率化されることでしょう。

なぜなら、smartASPは客観的な数字を元に修正すべき記事を抽出してくれるため、SEO知識に自信がないという人でも本格的なSEO対策が可能だからです。

また、競合分析も効率化してくれるため、非常に便利です。

無料なのでまだ使っていない人は1度使ってみましょう。

smartASPの公式サイトはこちら

\今なら完全無料!/

(4)Web表示の高速化

常時SSL化することでWebページを高速表示させることができます。

以前は「HTTPSを導入すると高負荷がかかり、通信速度が低下する」ということが言われていましたが、今ではHTTPSを導入しても、現代のネットワークインフラやサーバ、PCのスペックではほとんど実感できないほどの差でしかありません。

また、常時SSL化することにより、HTTP/2というプロトコルを利用することができるようになります。

HTTP/2とはHTTPを高速化するとともにセキュリティの強化を行い、またモバイル機器でのウェブ表示を高速化するという目的で開発されたプロトコルです。

HTTP/2には、クライアントからサーバに送信するヘッダ情報を圧縮することができるため、送信されるデータ量を2~3割も削減できるという特徴があり、スマートフォンなどのモバイルデバイスを使用してウェブサービスへとアクセスする場合、このデータ圧縮によるメリットは大きなものがあります。

そのため現在では、ウェブサイト表示の高速化にはHTTP/2は欠かすことのできないプロトコルと言えます。

(5)アクセス解析の効率化

常時SSL化することで、自分のWebサイトのアクセス情報を効率的に分析できるようになります。

リファラ情報を受け取れる

常時SSL化をすることでリファラ情報を受け取れるようになります。

リファラ情報とは、あるWebページのリンクをクリックして別のページに移動したときのリンク元のページの情報のことです。

例えば、ユーザがGoogleで検索した検索結果をクリックしてWebサイトに遷移した際、WebサイトがHTTPSであれば「Google検索から来たユーザ」としてアクセスログに残り、自社Webサイトの分析データとして蓄積させることができるのです。

逆に、HTTPサイトではリファラ情報が送信されなくなり、どこから遷移してウェブサイトを訪問してきたのかが不鮮明になってしまいます。

このことにより、Googleのアナリティクスなどでの解析をさらに詳しくすることが出来ます。

しかし、アナリティクスが詳しくなったからと言ってそれをうまく活用することが出来なかったら、意味がないですよね。

そこで、おすすめなのが無料ツールのsmartASPです。

smartASPがあれば、GoogleアナリティクスやサーチコンソールはsmartASPが分析してリライトすべき記事などを抽出してくれるため心配ありません。

また、Googleアナリティクスについてわからないことがあったら「Googleアナリティクスとは?」の記事をご覧ください。

他にも便利な機能がたくさんあるのにも関わらず、無料なので今すぐ登録しましょう。

smartASPの公式サイトはこちら

\今なら完全無料!/

集約して分析が可能

常時SSL化することでCookieが保存され分析がとてもしやすくなります

一部のページだけHTTPS化した場合では、遷移する他のコンテンツがHTTPページのままではCookieが保存されず、別々のユーザとして記録されてしまい、サイト内での行動が不鮮明になってしまいます。

同じサイト内にHTTPページとHTTPSページを混在させず、すべてHTTPSに集約させることで、ユーザが自社Webサイトでどのような行動を取ったかを効率よく分析することができます。

全てのWebページがHTTPS化しているのであれば、自社ウェブサイトの分析もシンプルになり、自社ビジネス発展のためデータの有効活用が可能になります。

常時SSL化(HTTPS化)する際の注意点

常時SSL化(HTTPS化)する際の注意点

常時SSL化には多くのメリットがあり、今すぐにでも常時SSL化させたいと思ったのではないでしょうか。

ここでは、そんな常時SSL化を行う際に注意しておきたいポイントを解説していきます。

SSL証明書・ライセンスの追加

問い合わせフォームやログインページなど、一部ページでSSL証明書を利用している場合も多いので、常時SSL化するにあたり、現在SSL証明書を利用しているかを確認しておく必要があります。

SSL証明書を利用していない場合や、追加で取得が必要な場合は、SSL証明書を新しく取得する必要があります。

ここで注意しておきたいのが、SSL証明書はコモンネーム単位で申請・発行されるので、同一ドメインでもサブドメインが異なる場合は、別コモンネームの扱いとなり、別途SSL証明書が必要になるということです。

ちなみにコモンネームとは、 SSL暗号化通信を行うサイトのURLのうち、サブドメインまでを含んだドメイン部分のことをいいます。

また、一部のSSL証明書はサーバー台数分ライセンスが必要な場合があります。

その場合、現在利用しているSSL証明書と常時SSL化したいページで、コモンネームが一致していても、運用サーバーが異なる場合は、ライセンスの追加や別途SSL証明書の取得が必要です。

証明書の発行などについて詳しく知りたい方は「常時SSL化とは?証明書の発行手順も解説」の記事をご覧ください。

URLのケア

サイトをSSL化すると、URLが「http://~」から「https://~」に変わります。

このまま放置しておくと、インターネット上では別のURLとして扱われてしまいます。

また、外部のWebサイトに記載されたリンクのURLが「http://」から始まるURLの場合、常時SSL化しURLが「https://」に変わった際にリンク元からアクセスできなくなってしまいます。

そのため、HTTPで運用されているURLのケアが必要となります。

その主な対策としては、リダイレクトとHSTSの設定が挙げられます。

リダイレクトの設定

リダイレクトとはURLが変更となった際に、変更前のURLから、変更後のURLへ転送を行う設定のことです。

リダイレクトには301と302がありますが、301は恒久的な移転の際に、302は一時的・メンテナンスの際に使われる事が多いです。

常時SSL化は一時的なものではないため、一般的に301リダイレクトの設定を行います。

301リダイレクトの設定方法は、対象サイトで利用しているWebサーバによって対応方法が異なります。

Apacheでは[.htaccessファイル]や[httpd.confファイル]でリダイレクトを行います。

「.htaccess」というファイルでは以下のように記述して対策をすることができます。

RewriteEngine on RewriteCond %{ HTTPS} off RewriteRule ^(.*)$ https://%{ HTTP_HOST}%{REQUEST_URI} [R=301,L]

このような記述を.htaccessに追加することで、「http://~」へのアクセスを「https://~」へ自動的にリダイレクトされるようになります。

ただ、上の記述例は、最低限のパラメータのみの記述となりますので、実際に301リダイレクトを行う際は、サーバー環境やCMS、その他プログラムなどをよく確認しておきましょう。

HSTS(HTTP Strict Transport Security)の設定

HSTS(HTTP Strict Transport Security)とは、HTTPSでアクセスするように、WebサーバーからWebブラウザへ働きかける機能のことを言います。

HSTSが設定されたWebサイトに利用者がアクセスすると、そのWebサイトへの次回以降のアクセスにはHTTPSのみを使うようにWebブラウザに通知され、次回からは利用者がそのサイトにHTTPでアクセスしても、WebブラウザがHTTPSのアクセスに自動変換してくれるという仕組みになっています。

この仕組みによりユーザーが常時SSL化されたWebサイトにHTTPでアクセスしてしまうことを減らすことができるのです。

注意点として、一度HSTSを設定した場合、何らかの問題が発生してもHTTPのサイトに切り戻すことは困難なため、HSTSの設定は慎重に行う必要があります。

また、HSTSにはWebサイトがHTTPSのみであることを事前設定しておく、プリロードHSTSという仕組みもあります。

プリロードHSTSとは、プリロードリストを元に、対応ブラウザでプリロードリストに登録のあるドメインサイトへアクセスを行う場合、初回のアクセスであっても、HTTPSでのアクセス行わせる仕組みです。

[.htaccessファイル]で設定する際に、includeSubDomains、preloadのパラメータも省略せずに記載を行うとともに、プリロードリストへ登録することで、機能させることができます。

この場合、この情報がWebブラウザに埋め込まれ、1度目のアクセスからHTTPSのみが使われるようになります。

ただ、一度プリロード HSTS に登録されると、証明書の更新を忘れて期限が切れてしまった場合など、HSTSやHTTPS接続を一時的に停止しHTTPで接続したい場合でもHTTPSへ強制的にリダイレクトされてしまうため、サ

イト運営者にとっては不便な場合もあることから登録には十分な注意が必要です。

SNSのカウントがリセットされる

常時SSL化の作業を行うと、URLがHTTPからHTTPSに変更され別サイト扱いになるので、各ページに設置されたFacebookのいいね数などのSNSボタン(ソーシャルボタン)のカウントがリセットされてしまいます。

これに対する直接的な対策はなく、この点は納得したうえで常時SSL化をしなければいけません。

混合コンテンツの回避

imgタグや、cssを読み込むリンク先などで「http://」で始まる絶対パスを使用し、一つのページ内でHTTPSとHTTPが混在する状態となった場合、混合コンテンツとなり、ブラウザによっては鍵マークが表示されなかったり、警告が表示され利用者の混乱につながることがあります。

そのため、Webサイトの「http://」で始まっている箇所を「https://」に修正する作業が必要となります。

混合コンテンツを避けるためには、内部リンクのURLを一律「https://」から始まる絶対パスに書き換えるか、絶対パスを相対パスに記述し直すという作業を行わなければなりません。

ソースコード上で混合コンテンツの原因となっている箇所は、ブラウザに搭載された開発者向けのツールを用いることで特定することができます。

なお、外部リンクに関しては、HTTPのURLで記載していても、混合コンテンツとなることはありませんが、スタイルシートや画像ファイルを外部から読み込んでおり、それが設置してある外部のサーバーのURLがHTTPの場合は混合コンテンツとなってしまいます。

この場合、読込先がHTTPSに対応していればURLを「https://~」に書き換え、非対応の場合には外部からの読み込みを中止したり、外部にあるJavaScriptや画像などのリソースをダウンロードして、自身が運営しているHTTPSに対応したサーバーへアップロードして再利用するなどの対策が必要です。

関連ツール(外部連携サービス)の設定変更

WEBサイト運営者の多くの方が「Google Analytics」や「Google Search Console」などのツールや、外部連携サービスを利用していると思いますが、使用しているツールによっては登録しているURLを「http://」で始まるものから、「https://」で始まるURLに変更する必要がある場合があります。

また、ウェブサイトをより良くしていくにはツールを使うのがおすすめです。

特にSEO対策を簡単にしてくれたり、内部リンク施策を効率的に行えるようなものが良いですよね。

そこでおすすめしたいのが、smartASPです。

smartASPにはSEO対策に欠かせない、内部リンク施策を行いやすいように可視化することができます。

これは、自分のサイトだけではなく、競合サイトの可視化も行えるため、大変便利です。

また、ASPの一括検索ができたりウェブサイト運営者なら使わない手はありません。

他にも作業効率化機能や強力なSEO機能があるにも関わらず、全ての機能が無料なのです。

無料なので、今すぐsmartASPに登録しましょう。

smartASPの公式サイトはこちら

\今なら完全無料!/

拡大する常時SSL化(HTTPS化)の流れ

拡大する常時SSL化(HTTPS化)の流れ

Googleの全HTTP ページに警告ラベルが常時表示されるなどの対応を受けて、ここ数年でサイトの常時SSL化の流れが大きくなっています。

このグラフを見ると常時SSL化は増加傾向にあり、世界では約7割、国内でも6割近くが対応していることが分かります。


出典:Atlas21

また、httparchive.orgが調査した情報によると2011年にはWeb通信のわずか2%がSSL化されているに過ぎませんでしたが、現在(2019年9月)では82%ものWeb通信がSSL化されています。

出典:HTTP Archive

今後HTTP/2の普及や主要ブラウザの対応も相まって常時SSL化の流れはさらに加速され、現在の8割を超える常時SSL化の状況は、近い将来限りなく100%に近づくと予想されます。

まとめ:常時SSL化(HTTPS化)のメリット

まとめ:常時SSL化(HTTPS化)のメリット

今回は常時SSL化することのメリットについて解説しましたがいかがだったでしょうか。

このページのポイントは以下の通りです。

  • 中間者攻撃の脅威から逃れ、セキュリティを向上させることができる
  • Google Chromeをはじめとする主要ブラウザの警告表示を回避することができる
  • SEO対策につなげることができる
  • HTTP/2によりウェブ表示の高速化を図ることができる
  • リファラ情報の取得と集約されたデータ分析により、アクセス解析を効率化させることができる

上のように常時SSL化はユーザーとWebサイトの運営者の双方にとって大きなメリットがあり、必須の対応であるといえるでしょう。

ぜひ常時SSL化を検討してみてはいかがでしょうか。

また、本格的なSEO対策をしたい方はサイト分析・競合分析などを効率化できる無料ツールsmartASPを活用するのがおすすめです。

無料なので、今すぐ登録しましょう。

smartASPの公式サイトはこちら

\今なら完全無料!/

コメントを残す


CAPTCHA