HTTPS(SSL化)とは?設定方法とサイトのSSL化について解説
最近では、WEBサイトをSSL化することが求められています。SSL化によって、データのやり取りが暗号化され、第3者による盗聴や改ざんを防ぐことができるからです。SEOの視点からもSSL化したサイトのほうが評価されるので、必ずSSL化しましょう。
SSL化とは
SSLとはSecure Sockets Layerの略称で、インターネット上の通信を暗号化する仕組みのことをいいます。SSL化されていないサイトのURLはhttp(保護されていない通信)、SSL化されているサイトのURLはhttpsとなります。
SSL化されていないサイトは通信されるデータが暗号化されておらず、第三者に簡単に盗み見される可能性があります。ハッキングなどによる情報漏洩を防ぐために、SSL化し通信を暗号化する必要があります。
要約するとSSL化とはサイトの安全性を高め、外部からの攻撃を守る設定のことをいいます。
常時SSL化とは
常時SSL化とは個人情報など重要なページだけSSL化するのではなく、サイト全体をSSL化することをいいます。従来のHTTPでは暗号化されていなかった通信をHTTPSによって常に暗号化し、セキュリティを高めることが目的です。
従来、SSLはWEBサイトの重要なページや個人情報が送信されるページなどに限定的に使用されていました。
しかし、最近では、GoogleがHTTPSを使用するWEBサイトを検索結果で優先的に表示することなどが影響し、SSL化が推奨されるようになっています。
TLSについて
TLS(Transport Layer Security)は、SSLの後継プロトコルです。プロトコルというのは、デーツ通信の決まりごとや規格のことで、そのプロトコルに違反する通信は正しく受信できません。例えば、電子メールにはSMTPというプロトコルが採用されており、メールを正しく使用するために必要です。
TLSはSSLと同様に、WEBの通信を暗号化するためのプロトコルです。具体的には、ブラウザとサーバー間でやりとりされる情報が暗号化されていない、いわゆる平文(ひらぶん)に対しての盗聴や改ざんを防止することができます。
SSL/TLS証明書について
SSL/TLS証明書とは、WEBサイトがSSL/TLSプロトコルを使用して暗号化通信を行っていることを証明するものです。具体的には、次のような種類があります。
ドメイン認証証明書
ドメイン認証証明書は、WEBサイトのドメイン名のみが認証された証明書です。ドメイン管理者の認証を得ることで、サーバー証明書が発行されます。認証レベルとしては低いですが手続きは簡単なため、多くのWEBサイトやブログなどに使用されています。
組織認証証明書
組織認証証明書は、WEBサイトのドメイン名だけでなく、組織名や住所なども認証された証明書のことです。認証局の規定に基づいて企業の実在性が審査対象です。この認証レベルは信頼性が高いため、主に企業のWEBサイトで使用されます。
EV SSL証明書
EV SSL証明書は、Extended Validation SSL証明書の略称で最も高い認証レベルを持つ証明書です。EV SSL証明書は、金融機関などで使用されることが多いです。
参考ページ: 解説「SSL/TLSサーバ証明書とは」- JIPDEC
SSL/TLS化の歴史
SSLは、1994年に登場したWEBの通信を暗号化するためのプロトコルです。当時はオンライン決済などの金融取引に使用されることが一般的でした。
1995年には、SSL 2.0がリリースされHTTPS通信に広く使用されるようになりました。しかし、2006年に脆弱性があることが判明しました。その後、2008年にはSSL 3.0にバージョンアップしましたが、2014年にはやはり脆弱性が発見され使用が推奨されなくなりました。
現在では、TLS(Transport Layer Security)が開発され、SSLに代わる通信プロトコルとして広く使用されています。
SSL化したほうがいい理由
安全性を高めるSSL化ですが実は他にもメリットは多く、サイトの規模は関係なしにSSL化することが推奨されています。SSL化をしたほうが良い具体的な理由には次の4つが挙げられます。
- セキュリティに強くなる
- サイト訪問者からの信用度が高まる
- SEOで有利になる
- 正確なアクセス解析やサイトの分析ができる
セキュリティに強くなる
SSL化は元々セキュリティ強化の為に適用されたものですので、最大のメリットとしてセキュリティに強くなることが挙げられます。
SSL化されていないサイトでは容易に情報漏洩してしまう可能性があります。サービスを利用している顧客の個人情報が漏洩してしまう危険性もあるため、サイトの規模を問わずセキュリティ面を考慮するとSSL化は必須事項です。SSL化するだけで改ざんやなりすましによる情報漏洩に対するリスクが格段に低くなります。
サイト訪問者からの信用度が高まる
サイトを訪問した際にSSL化されていないとサイトリンクに「保護されていない通信」の警告表示が出ます。これがあることでサイトの信用度は下がり、訪問者が離脱してしまう可能性があります。
例えば、ご自身が調べものや企業サイトを検索してサイトを開いたときサイトリンクに「保護されていない通信」と警告が表示されていると、このサイトは信用度に欠けると感じページを離脱するはずです。
SSL化されていないのが原因で1度訪問した顧客や読者を逃してしまうことはとてももったいないことです。サイトの信用度を高めていくためにもSSL化は大切な要素であるといえます。
SEOで有利になる
2014年にGoogleで検索順位を決める要素にSSL化されているかされていないかを含むと発表があり、さらに2015年には同じコンテンツでSSL化されているサイトとされていないサイトの2つのページではSSL化されているサイトのページを優先してインデックスさせると発表されています。
インデックスとはGoogleなどの検索エンジンに登録されることです。SSL化をしないことによりインデックスされないと検索エンジンに登録されず検索しても表示されません。インデックスされることは、より多くの方にサイトを見てもらうための大切な要素です。
SSL化していないことが原因で、サイトのアクセスが伸びなかったりGoogle検索で表示されないことは非常にもったいないです。SEOの観点からもSSL化することは大切といえます。
正確なアクセス解析やサイトの分析ができる
SSL化はサイト運営にも大きく影響します。サイト運営者からすると、正確なサイトの検索順位やアクセス数を分析することは必要不可欠です。
サイト運営をしている人のほとんどが使用しているGoogleアナリティクスもSSL化されていることで精度の高い解析がおこなわれます。SSL化されていないと自社サイトに訪れたユーザーの行動がわかりません。
SSL化していることで自社サイトに訪れたユーザーがどのように自社サイトへたどり着いたのか確認することができます。ユーザーのサイト間の移動はサイト運営を成長させていくうえで重要な要素です。
サイトを守り成長させていくためにSSL化は必須事項です。現在はどのサーバーでも比較的簡単にSSL化することが可能です。
SSL化する方法
SSL化の大まかな手順は次のとおりです。
- SSLサーバー証明書の発行、インストールをする
- URLを変更する
- リダイレクト設定をする
- 各種設定の変更をする
SSLサーバー証明書の発行、インストールする
まずサーバー証明書の申し込みとインストールをします。基本的にはサーバー会社のマニュアルに沿って証明書の申し込みからインストールまでする流れになるので、自社で使用しているサーバー会社のマニュアルを参考にしてください。
ご使用のサーバーによっては、サーバー証明書の発行及びインストールする工程が大幅に簡略化されているサーバーもあります。
リンクを変更する
ここまでの工程でSSL化は実行できました。しかし、外部連携サービスはSSL化する前のhttpのままで登録されています。
サイトを作成してからしばらく経っていると、SSL化した後の設定の手間もよりかかってしまうため、なるべくサイトを立ち上げたときにSSL化することを推奨します。
TwitterやFacebook、Instagramなどの各種SNSにサイトURLを貼っている場合は、必ずhttpsへの変更を忘れずにおこなってください。リダイレクト設定をしていないとサイトエラーが表示されてしまいます。
リダイレクト設定をする
SSL化したあとはリダイレクトの設定も必要です。リダイレクト設定とは以前のhttpのURLにアクセスしてもhttpsのURLに自動で転送する設定のことをいいます。
SSL化をおこなうとURLがhttpからhttpsに変更されます。リダイレクト設定がされていないと、SSL化される前のHTTPのリンクが開かれた場合にページエラーとなりますので忘れずにおこなってください。
各種設定の変更をする
SSL化が完了したら外部連携サービスの設定も確認します。特にGoogleアナリティクスやGoogleサーチコンソールはサイト運営をしていくうえで必須項目なので、忘れずに設定の確認をしてください。
SSL後のGoogleアナリティクスの設定方法
アナリティクスはサイトのアクセスを解析する重要なツールです。設定を変更していないと正確なアクセス解析ができなくなってしまいます。Googleアナリティクスで設定する項目は2つです。
- プロパティ設定のデフォルトのURLをhttps://にする
- ビューの設定のウェブサイトのURLをhttps://にする
はじめにGoogleアナリティクスの左側にあるサイドバーの歯車マークをクリック。プロパティ設定をクリックしデフォルトのURLをhttps://に変更してください。次にサイド歯車マークをクリックしビューの設定を開き、ウェブサイトのURLをhttps://に変更してください。
SSL後のGoogleサーチコンソールの設定方法
Googleサーチコンソールはインデックスや検索順位などを確認するツールです。アナリティクス同様、設定変更をしていないと利用できないので忘れずに変更します。サーチコンソールの場合はSSL化したあとに新規プロパティを追加する必要があります。
- プロパティを追加をクリック
- ドメインにSSL化したサイトのURLを入力
- 所有権の確認を実施
はじめにトップページ左上にあるプロパティのプルダウンからプロパティを追加をクリック。左側のドメインにSSL化したhttpsのURLを入力し続行をクリック。所有権の確認は指示に従い実施。サーチコンソールの設定変更は以上で完了です。
HTTPS(SSL化)されているか確認する方法
設定完了後は必ずSSL化されているか確認作業をおこなってください。確認方法は、SSL化したサイトのURLを確認し、頭の文字がhttpsになっているかどうかで判断できます。
リダイレクトの設定も正常にできているか確認するために、古いhttpのサイトリンクを開き、新しいhttpsのサイトに転送されるか確認します。設定途中で操作ミスを起こしていないか確認するためにも。最終確認は必ず実施してください。
SSL化のよくある質問
ここではSSL化についてよく寄せられる質問を取りあげて解説します。
Q: SSL証明書の有効期限はどれくらいですか?
Answer)SSL/TLS証明書には、有効期限が設定されています。期限が切れると再度証明書を取得する必要があります。
通常SSL証明書の有効期限は1年間もしくは2年間です。ただし、証明書の種類や発行元によって異なる場合もあります。有効期限が切れた証明書を使用して通信をおこなおうとすると、ブラウザが警告メッセージを表示するので注意してください。
Q: WEBサイトの速度に影響はありますか?
Answer)SSL/TLSの導入に伴いサーバー間での情報のやり取りが増えるため、表示速度が遅くなる可能性があります。ただし、これらはSSL/TLSのバージョンアップに伴いその影響が最小限に留められています。そのため、WEB担当者はその影響を気にする必要はないといえます。
Q: SSLを導入する前に注意すべきことは?
Answer)SSL証明書には、ドメイン認証証明書や組織認証証明書などの種類があります。どの証明書を取得するのかによって、認証局による確認方法や承認までの時間、証明書の表示方法などが異なります。事前に自社のWEBサイトに適した証明書の種類を検討してください。
Q:ドメインの所有権の確認方法は?
Answer)SSL証明書を取得する際にドメインの所有権を確認する必要があります。具体的な方法としては、メールによるものやDNSレコードによるものなどがあります。
ただし、組織認証証明書やEV SSL証明書を取得する場合は、電話や郵送などで企業情報を確認する手続きが必要です。
まとめ