常時SSLって何?HTTPSに統一しておくべき理由やメリットデメリット、注意点まで解説
今回は「常時SSLって何?」「なんで常時SSLをする必要があるの?」についてまとめた記事です。URLをHTTPSに統一しておくべき理由から、そのメリットやデメリット、また常時SSL化における注意点なども解説しています。
前回エックスサーバーで契約した無料SSLで常時SSLをする方法について紹介しましたが、その記事と合わせて参考にしてもらえればと思います。
目次
そもそも常時SSLって?
常時SSLとは、「SSL化したブログ(やWEBサイト)を常にhttps://でアクセスさせる」ことを指します。
どういうことか?と言うと、例えばエックスサーバーで無料SSLの契約が済むと、ブログは
https://digitalnavi.net/
のように、2つのURLでアクセスできるようになります。
このうち、http://の方にアクセスがあれば、全部https://へリダイレクト(転送)してしまおう、つまりhttps://にURLを統一してしまおうというのが常時SSLです。
でも、「転送しちゃうとページが見れなくなるんじゃない?」と心配する人がいるかもですが、たとえば以下のブログのアバウトページの場合、
https://digitalnavi.net/about/
頭のhttp://、https://が違うだけで、中身は全く同じものが表示されます。どちらも同じブログの同じページ、同じ内容を表示しているということなので、http://からhttps://へリダイレクトすることで、ページが表示されなくなるなどの問題は起こりません。
では、なんで常時SSLをする必要があるのか?
こんな声もあるかもなんですが、この辺については以下の「URLをHTTPSに統一しておくべき理由と、そのメリットやデメリット」の中で解説していきますね。
・・・
まずは、常時SSLにしておくべき理由からリストアップしてみます。
- ブラウザで「保護されていない通信」の警告が出る
- Googleの検索順位にも影響する
- いつの間にかセキュリティ保護されて「いない」ページを見ていた…という危険性
- 正確なアクセス解析を取りづらい
ブラウザで「保護されていない通信」の警告が出る
まず、これが見た目のインパクトのデカさという意味でも、SSL化する大きな理由の1つではないかと思います。
Google Chromeなどの主要ブラウザでは、2018年7月頃からhttp://でサイトにアクセスすると「保護されていない通信」のような警告表示が出るようになりました。特に企業サイトなんかの場合は、この表示が出たままだと非常にマズいよね・・・という雰囲気にもなってきたわけです。
Googleの検索順位にも影響する
Googleはずいぶん前からHTTPSへの移行を推奨していて、「HTTPS ページが優先的にインデックスに登録されるようになります」という発表も行なっているくらいです。
Google のシステムではデフォルトで HTTPS バージョンが優先されますが、HTTP サイトを HTTPS バージョンにリダイレクトしたり、サーバー上に HSTS ヘッダーを実装することで、他の検索エンジンでも HTTPS バージョンを明示的に優先させることができます。
https://webmaster-ja.googleblog.com/2015/12/indexing-https-pages-by-default.html
今後はSEOの面から見ても、HTTPSにURLを統一しておく必要はありそうです。
いつの間にかセキュリティ保護されて「いない」ページを見ていた…という危険性
SSL化されていないサイトのお問い合わせフォームから名前などの個人情報を送信すると、通信内容が盗聴される危険性があります。
で、http://、https://の2つのブログにアクセスできることの何が危険かと言うと、セキュリティで保護されたhttps://のページを見ていたはずなのに、お問い合わせメールフォームはhttp://の保護されていない方のリンク遷移になっていて…
そうとは気づかずにメール送信しちゃった・・なんてことになる可能性もあるわけです。
正確なアクセス解析を取りづらい
Googleアナリティクスとサーチコンコールを使っているという前提で、SEOの面からもう1点。
http://とhttps://の両方のサイトに行き来できると、アクセスが分散してしまって正確な統計を取りづらいというデメリットもあります。
また、サーチコンコールについてはhttp://とhttps://の両方のサイト登録をしないといけないので、これも面倒・・・
つまり、常時SSLでhttps://にURLが統一されている方が、正確な統計を取れるという点でも、アクセス解析の管理面でもメリットが大きいということなんです。
>> 常時SSL対応でやっておくべきことと注意点
個人ブログであれば、まずはレンタルサーバーの無料SSLを使うのがオススメ
常時SSL化とひとくちに言っても、証明書のタイプによってはめちゃくちゃ費用がかかる場合もあります。
以下は、エックスサーバーでの独自SSLの証明書タイプ別価格表です。
| サービス名 | 認証レベル | SSL証明書料(1年) |
|---|---|---|
| ドメイン認証SSL | ★☆☆ | 9,000円 |
| 企業認証SSL | ★★☆ | 19,000円 |
| EV SSL | ★★★ | 48,000円 |
※エックスサーバーの場合、上記金額に加えて「SSLプラン」という費用も掛かります。
企業サイトの場合は「企業認証SSL」とか「EV SSL」とか、そっちのお金かかる証明書のタイプの方をやれば良いんですが、個人ブログだとレンタルサーバーを借りていることがほとんどだと思うので、サーバー会社が提供している「無料SSL(Let’s Encrypt)」を使うのがオススメです。
| サービス名 | 認証レベル | SSL証明書料(1年) |
|---|---|---|
| Let’s Encrypt | ★☆☆ | 0円 |
WordPressのブログだとエックスサーバーとの相性が良いので、エックスサーバーの契約時に、合わせて無料SSLを使うようにしておくのが良いでしょう。この辺は以下の関連記事でまとめていますので、合わせて参考にしてもらえればと思います。
常時SSL対応でやっておくべきことと注意点
エックスサーバーに限らず、今ではいろんなレンタルサーバーで無料SSLを使うことができますが、SSLを契約しただけでは常時SSL対策が完了したとは言えないので、最後に常時SSL対応でやっておくべきことと注意点をまとめておきます。
- .htaccessでURLをリダイレクト
- WordPressの場合は、データベース内のhttpのURLを全部httpsへ置換
- Googleアナリティスクスのプロパティ設定で、URLをhttpsに変更
- Googleサーチコンソールでhttps://のサイトを登録
1つずつ見ていきましょう。
.htaccessでURLをリダイレクト
http://のアクセスをhttps://へリダイレクトする記述を.htaccessに書いておかないと、上でも触れた「いつの間にかセキュリティ保護されていないページを見ていた…」問題が起こる可能性があります。以下の関連記事で紹介している方法を参考に、.htaccessファイルを編集しておきましょう。
WordPressの場合は、データベース内のhttpのURLを全部httpsへ置換
WordPressのデータベース内に登録されているhttp://のURLを、https://へと全て置換しておく必要があります。
そのためには、「Velvet Blues Update URLs」というプラグインを使えばURLを一括置換できるので便利です。使い方はとてもシンプル。詳しくは、以下の関連記事を参考にしてもらえればと思います。
Googleアナリティスクスのプロパティ設定で、URLをhttpsに変更
上でも少し触れましたが、Googleアナリティスクで正確な統計をとるためには、HTTPSへのURL統一後に、アナリティクス側の設定を一部変える必要があります。
まずはGoogleアナリティスクにログインして、左下の「管理」リンクから
対象のサイトの「プロパティ設定」へ進みます。
「デフォルトの URL」のhttp://となっている箇所を、
https://に変更します。
最後に、ページ下部の「保存」ボタンをクリックすればOKです。
Googleサーチコンソールでhttps:のサイトを新規登録
また、Googleサーチコンソール(旧ウェブマスターツール)においても、今登録しているhttp://のサイトとは別に、新規でhttps://のサイトを追加しないといけません。
・・・
以上、常時SSL化についての解説を終わります。
最後まで読んでいただき、ありがとうござました★
