SSLとは?導入方法とメリット・デメリット

SSL/TLS通信でWebサイトをHTTPS化するとSEOは有利になる?!

2014年8月、Googleは全てのWebサイトにおけるHTTPSからHTTPS(暗号化通信)への切り替えを勧め、HTTPSを導入しているかどうかをランキングの評価基準に反映させるという記事を発表しました。
ウェブマスター向け公式ブログ

https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

HTTPSとは

Hypertext Transfer Protocol Secureの略
SSL/TLS(Secure Socket Layer/Transport Layer Security)によって通信

SSL/TSL通信はSEOにどれだけ影響する?

Googleでは、スコアの指標となるさまざまな「シグナル」をもとに、独自のアルゴリズムによってランキングを決定しています。これらのシグナルのうち、重要とされているのが下記の3点です。
・リンク=内外からコンテンツへのリンクの質と量
・コンテンツ=検索キーワードの出現率や出現回数、正しい記述
・RankBrain=検索キーワードに関連するワードの出現率

推奨はしているものの、HTTPS化によるSEOの影響は、評価基準としては「それほど重要ではない」という位置付けにあるようです。公式ブログにも下記のように記されています。

「このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPS は、優れたユーザー エクスペリエンスを生み出す多くの要素のうちの 1 つです。」

ですから、HTTPS化したからといって、上記の3点を怠ってしまうと、検索順位は上がるということはありません。まずはGoogleが重要としている要素の対策をしっかり行うことが大切です。
しかし「長い期間をかけて強化していきます」と書かれているように、今後はHTTPS化をより重要なシグナルとして扱うようになるかもしれません。それだけではなく、HTTPのままにしているサイトに何らかのマイナス評価を与える可能性すらあります。

HTTPSの導入はすでに「必須」と言える段階にきているのかもしれません。
今後の導入の可能性に備えて、HTTPSのメリットやデメリットを把握しておきましょう。

HTTPS(暗号化通信)化しなくても大丈夫?

今のところはランキングに影響が出ていないから、まだ大丈夫」と考える方もいますが、ブラウザ上でのHTTPとHTTPSの差別化はすでに始まっています。

ユーザーからの信頼度を失うおそれがある

Chromeのアドレスバーに注目してください。
南京錠のマークがURLの横に表示されていると思います。

Chromeのアドレスバー

これは、HTTPSを使用した安全な通信であることを表しています。
マークをクリックすると下のように表示されます。

HTTPSを使用した安全な通信であることを表しています

一方、HTTPではこのように表示されます。

一方、HTTPではこのように表示されます。

iマークをクリックすると、「保護されていません」と赤字で警告が表示されます。

「保護されていません」と赤字で警告が表示

「Chrome67」までは、個人情報を入力するようなフォーム画面にのみこのような表示を行ってきましたが、2018年7月にバージョンアップされた「Chrome68」では、「http://」で始まるサイトの全ページで表示されるようになったのです。
さらに、「Chrome70」では、「保護されていません」の文字が赤字になるとされています。

このように明確に表示されれば、ユーザーはきっと不安になり、サイトへの信頼度は低くなるでしょう。特にショッピングやクラウドサービスなど、個人情報を入力して利用するサイトの場合は、HTTPのままではユーザーが利用を控えるようになる可能性もあります。そうなると、売り上げにも大きな影響が出てしまいます。
現時点では、フォーム画面にのみSSL対応をしているサイトも非常に多いですが、ユーザーからの信頼を得るためには、今後はサイトの全てのページをSSL化する「常時SSL」が必要と言えます。

では、HTTPSにすることで得られるメリットはどのようなものでしょうか。逆にデメリットはないのでしょうか。

HTTPS(暗号化通信)にするメリット・デメリット

メリット

1.ユーザーからの信頼度が上がる
HTTPがユーザーの不安をあおるなら、逆に言えば、HTTPSはユーザーから信頼されやすくなるということです。それは、単にブラウザでの表示にとどまりません。
SSL化されたWebページには、「SSL証明書」が発行されます。これは、通信しようとしているサーバーが実在するものであり、間違いなくドメインの所有者が運営しているサーバーであると証明するもの。「なりすまし」の防止にも役立っています。

2.検索順位が上がる可能性がある
大きくはないにしても、ある程度の検索順位への影響があります。

3.コンテンツの表示速度が上がる
HTTPS化することで、複数のリクエストを同時に処理することができる高速プロトコル「HTTP/2」によって処理され、ページの読み込みが早くなります。主要ブラウザでは、HTTPSの通信でしかHTTP/2を使うことができません。

4.アクセス解析の精度が上がる
HTTPSからHTTPへのページに遷移した場合、参照元が解析されず、不明のままです。ですが、HTTPSのページ同士での遷移であれば参照元がわかるため、正確なアクセス解析が可能です。

デメリット

1.費用がかかる
利用しているサーバーの種類やサーバー証明書の認証型によってかかる費用は異なりますが、一般的には年間数万円以上の費用がかかります。
それぞれ価格や信頼度も異なるので、導入前にしっかりと比較検討することをおすすめします。

2.ソースコードを変更しなければいけない
リンクのパスを全て「http」から「https」に書き換える必要があります。サイト内部だけでなく、外部からのリンクも変わってしまうので、注意が必要です。

3.SNSの「いいね!」などが消える
httpの時にもらった「いいね!」はhttpsに移行することができないため、消えてしまいます。

「常時SSL化」はどうやってするの?

Chrome70が発表されるこの時期、HTTPからHTTPSへの切り替えのタイミングとしては非常に良いと言えます。では実際にどうやってSSL化すればいいのでしょうか。

1.SSL/TSLのタイプを選ぶ

SSL化するには、SSL証明書を取得しなければいけません。これは、第三者機関である認証局によって審査を受け、発行される電子証明書です。
まずは、どの認証局で、どんな証明書を発行してもらうかを選ぶ必要があります。

SSL/TSLには、共有SSLと独自SSLがあります。

・共有SSL
レンタルサーバー会社が取得したSSLを、複数の利用者で共有して利用するもの。手続きが簡単で、レンタルサーバーのサービス利用者であれば基本的に無料で導入できる。

・独自SSL
独自に申請し、取得する。独自ドメインで利用できるが、タイプによっては手続きが煩雑で費用も年間数万円〜数十万円と高額。更新手続きが一年に一度必要。

認証レベルを気にしない個人サイトであれば、共有SSLでも十分だと思います。設定も簡単で、すぐに利用できます。
独自ドメインの場合は、さらに「ドメイン認証型SSL」「企業認証型SSL」「EV認証型」の3種類から適切な証明書を選びます。

2.認証型を選ぶ

SSlサーバー証明書は大きく分けて3種類あります。サーバーのタイプや目的、運営規模に応じて適したものを選びましょう。

・ドメイン認証型
登録ドメインの所有名義が確認できれば取得できるため、短期間での取得が可能。価格も年間3万円〜と比較的低価格で、個人の利用者も取得しやすい。
ただし、審査内容がドメイン確認のみなので安全性はやや低く、なりすましを完全に防ぐことはできない。他の2つと比べると、信頼性が高いとは言えない。

・企業認証型
Webサイトを運営している組織が実在しているかどうかを確認した上で発行されるため、審査の際は登記事項証明書など、法的登記による確認が行われます。そのため、個人での取得はできません。費用は年間5万円〜。
ブラウザ上の見た目はドメイン認証型と同じです。

・EV(Extended Validation)認証型
企業認証型よりもさらに厳しい審査によって組織が実在していることを確認して発行される証明書です。各種書類の提出や申請者の在籍確認、電話確認など、厳格に審査されるため、発行までに時間がかかります。また、費用も10万円~と高額です。
ただし、クレジットカード情報を扱うECサイトや金融機関のサイトでの導入は欠かせません。EV認証型のサーバー証明書が発行されると、緑色のアドレスバーに組織名が明記されるため、ユーザーに安全性がわかりやすいというメリットもあります。

3.申請書を発行する

サーバーでCSR(Certificate Signing Request)を生成します。
Webサーバーアプリケーションによって生成方法は異なるため、マニュアル等を参照に行いましょう。
また、ジオトラストなど認証局のサイトでも生成手順が紹介されています。

4.認証局のサイトに申し込む

ジオトラストやシマンテック、JPRS、セコムなど、サーバー証明書の発行を手がける認証局のサイトで申し込みを行います。
この際、生成したCSRを申請画面に添付します。

5.必要書類を提出する

書類審査が必要な場合は、指定された認証局の住所に書類を送付します。
ドメイン認証型の場合はこの手順は不要です。

6.SSLサーバー証明書のインストール

Eメールでサーバー証明書が送られてくるので、これをサーバーに保存し、インストールします。

手続きや導入には煩わしさはありますが、年に一度の手続きでユーザーからの信頼度を高めることができるなら、切り替える価値はありそうですね。
今後確実に重視されるHTTPS化。まだ対応していない方は、今のうちに検討を始めることをおすすめします。

面倒なSSL対応のご依頼はDREAM-NETの技術者にお任せ下さい。