一部のURLは「http://」ではじまるのに対し、そのほかのURLは「https://」ではじまることをご存じでしたか?
この「s」は一体どこから来て、何を意味するものなのでしょうか?
簡単に説明すると、この「s」は利用者とそのウェブサイトとの接続が暗号化され、保護されており、入力されるあらゆるデータがウェブサイトと安全に共有されていることを示します。
このテクノロジーはSSLと呼ばれ、Secure Sockets Layer(セキュア ソケット レイヤー)を意味します。
この記事では、SSLの仕組みと、安全でないウェブサイトに対するGoogle Chromeの表示、そしてSSL認証の評価・取得方法についてご紹介します。
テクニカルSEO用語辞典
〜検索順位とコンバージョン率改善のために知っておきたい用語を大公開〜
- 301リダイレクト
- 404エラー
- 504 Gateway Timeout
- XMLサイトマップ
今すぐダウンロードする
全てのフィールドが必須です。
SSLとは?
- SSLとは、ウェブサーバーとブラウザとの間に暗号化された接続を確立する世界標準のセキュリティテクノロジーです。この接続によって、ウェブサーバーとブラウザとの間でやり取りされるあらゆるデータの機密性が守られます。
このSSLの定義は、世界でSSL技術の一端を担う組織「SSL.com」からの引用です。
皆さんがフォームのあるウェブページにたどり着き、フォームを記入して「送信」ボタンを押す時、もしこのウェブサイトが保護されていない場合は入力した情報がハッカーに傍受されてしまう可能性があります。
ハッカーの手にわたる可能性のある情報には、ECなどの一般的なログイン情報から銀行取引の詳細、割引を利用するために登録した機密情報まで、あらゆるものが含まれます。これは、セキュリティの業界用語では「中間者攻撃」と呼ばれています。
実際の攻撃には様々な形がありますが、最も一般的なものは次のようにして行われます。
まずハッカーはウェブサイトをホスティングしているサーバーに検出不可能な小さな盗聴プログラムを植えつけます。
このプログラムは訪問者がウェブサイトに情報を入力し始めるまでバックグラウンドで待機し、入力がはじまった途端に起動して情報を収集し、ハッカーに送信します。SF映画の世界だけでなく、現実に起こっている怖い話です。
ですが、SSLによって暗号化されているウェブサイトを利用する場合、ブラウザはウェブサーバーと接続し、SSL認証を確認したうえでブラウザとサーバーを結びつけます。
この結びつきは保護されており、ブラウザに入力された情報を利用者と情報提供先ウェブサイト以外の第三者が見ることはできません。
SSLの役割はこのような傍受の防止の他にも、改ざん防止、なりすまし防止などがあります。
ウェブサイトをSSLで暗号化することで、ウェブサイト内容の改ざんやアカウントのなりすましを防止できます。
Google Chromeにおける表示
Google が提供している人気ブラウザの「Google Chrome」では、SSLで保護されているページとそうでないページで表示に差があります。
大きな変化としては、2017年にリリースされたバージョン62が挙げられます。このバージョンでは、フォームが含まれているにも関わらずSSLが有効になっていないウェブページに警告マークを表示する機能が導入されました。
現在は、フォームの有無にかかわらず、非SSLのページすべてに警告マークと「保護されていない通信」の文字が表示されます。また、スマートフォン版では警告マークのみが表示されます。
ハブスポットが実施した調査では、最大85%の利用者が保護されていないサイトの閲覧をやめると回答しています。
よって利用者はすでに「保護されていない通信」の警告を見慣れており、下に示す調査によれば、警告が表示されるとそのサイトから移動する傾向にあることが分かっています。
SSLはSEOに効果的?
答えはイエスです。
SSLの主な目的は訪問者とウェブサイトの間でやり取りされる情報を保護することですが、SEOの面でもメリットがあります。Google ウェブマスター・トレンドアナリストであるZineb Ait Bahajji氏は、SSLはGoogle の検索結果順位アルゴリズムの一部であると言っています。
- 「私たちは数か月で数々の試験を行い、保護され暗号化された接続がウェブサイトに使用されているかどうかを、検索結果の順位を決めるアルゴリズムに組み入れるべきかを検討しました。結果、HTTPSを表示順位の決定要素として利用することに決めました。」
さらにGoogle は、検索結果で同順位のウェブサイトが2つあり、片方でSSLが有効になっている場合は、そちらのウェブサイトの方が上位に表示される可能性が高くなることを正式に発表しています。
つまり、ウェブサイトやあらゆるコンテンツでSSLを有効にすれば、確実にSEO上のメリットが得られるということです。
どうすればSSLがあることがわかりますか?
SSLを備えたウェブサイトは、以下の方法で見分けることができます。
ハブスポットの無料ツール(英語)でウェブサイトのSSLをチェックいただけます。
URLバーに鍵のアイコンが表示される
このアイコンは、ブラウザによってURLバーの左または右に表示されます。鍵アイコンをクリックするとそのウェブサイトと、SSL認証を提供した会社についての詳細を見ることができます。なお、SSLには有効期間があります。
SSLの有効期間が切れている場合は、ブラウザで鍵マークアイコンが表示されず、SSLでない場合と同じ、三角のびっくりマークが表示されます。
どうすればウェブサイトにSSL認証を取得することができますか?
はじめに、どのタイプの認証が必要なのかを判断しましょう。
例えば、異なるドメイン/サブドメイン上にある複数のプラットフォームにコンテンツをホスティングしている場合は数種類のSSL認証が必要になる可能性があります。
一般的なウェブサイトの場合は標準的なSSL認証でコンテンツを保護することができますが、金融や保険など規制対象となる分野の事業の場合は、必要となるSSL認証の種類が業界ごとに規則で定められていますので、IT担当者と確認することをおすすめします。
SSL認証の費用は種類によって異なり、無料で認証を取得したり、毎月約数万円でカスタム認証を取得したりすることもできます。
無料サービスについては、Let's Encrypt(レッツ・エンクリプト)が無料認証を提供しています。問題のウェブサイトのDNSや技術的な構造に詳しい人物と一緒に手続きを進めるようにしてください。
また、無料SSLは90日ごとに更新が必要なため、自動更新する仕組みかどうか導入前に確認しておきましょう。
そのほかにも多くのドメインプロバイダーがSSL認証を提供しており、金額は1ドメインで約6,500円から複数ドメインで数万円まで様々です。手続きはLet's Encryptよりも簡単ですが、料金が発生します。
(HubSpotをご利用のお客様へ:HubSpotでコンテンツをホスティングされている方は、標準のSSL証明書が自動的に適用されます。詳細についてはカスタマー サクセス マネージャーにお問い合わせいただくか SSLページをご覧ください。)
ここで特筆すべきはSSLの有効期間です。
Let's Ecryptの有効期間は90日ですが、有料SSLの有効期間は最大1年です。
よりセキュアな接続を維持するため、現在の潮流としては有効期間がより短縮される可能性があります。
SSLのインストールに役立つWordPressプラグイン
日本では一般的にレンタルサーバーでSSLを簡単に設定できるようになっています。しかし場合によっては、レンタルサーバーでSSLを設定するだけでは不十分です。
WordPressを使ってウェブサイトを運営している場合、以下のプラグインを使って、すべてのコンテンツがSSLになっているかどうかをチェックしたり、簡単にSSL化したりできるようになります。
- Really Simple SSL(英語):SSL認証は購入すれば終わりではありません。こちらのプラグインを使うと、SSLをすべてのWordPressコンテンツにインストールすることができます。
プレミアムバージョンを使うとすべてのウェブサイトに一括でインストールすることができ、どのウェブサイトにも警告が表示されないことを確認する機能が利用できます。
プレミアムバージョンは20ドルのものから、SSLの設定と最適化を含む145ドルのフルサービスまで幅広いオプションがそろっています。 - Insecure Content Fixer(英語):SSL認証を取得してインストールができたら、次のステップに進みましょう。
例えば画像ファイルなどのハードコードされた「http」がウェブサイトの中に組み込まれている場合は、この画像をロードする際に警告が表示されることになります。
こちらのプラグインはこういったコードの問題を発見して修正し、ウェブサイトが安全かつ適切に表示されるようにしてくれます。 - WP Force SSL(英語):さて、SSL認証の取得とインストール、エラーの修正が終わりました。
今度は、すべてのトラフィックに対してSSLで保護されたページが表示されることを確認しましょう。
こちらのプラグインはすべてのトラフィックをHTTPSに強制誘導し、セキュアな状態でのみロードするようにしてくれます。
このプラグインを有効にする前に、保護されていないコンテンツがないかどうかを必ず確認してください。保護されていないファイルが含まれていると、ウェブサイトに警告が表示される場合があります。
(HubSpotをご利用のお客様へ: HubSpotのFile Managerにホスティングされているコンテンツはすべて、チェックボックスにチェックするだけで自動的にSSLによって暗号化されます。詳細についてはカスタマー サクセス マネージャーにお問い合わせいただくか、SSLページをご覧ください。)