編集者・小平淳一の共有ノート編集者、ライター、クリエイティブディレクター。伝えたいことを実名で書き連ねます。

常時SSL化の手順と効果を箇条書きで紹介

Pocket

僕が契約しているロリポップというレンタルサーバでは、無料の独自SSLを提供しています。このブログもそれを使って「常時SSL」化を果たしました。ここではその実体験を元に、常時SSL化の手順や効果、前提として知っておきたい知識を、箇条書きでわかりやすくご紹介します。
 

前提知識編

 

そもそもSSLとは?

「Secure Sockets Layer」の略です。WebブラウザとWebサーバの間の通信を暗号化する技術です。
 

SSLのメリットって?

大きく分けて3つあります。盗聴を防げること、改ざんを防げること、なりすましを防げることです。例えばオンラインショッピングなどでSSL通信が使われていれば、クレジットカード情報を盗み見られたり、購入内容を勝手に書き換えられる心配がなくなり安心です。
 

なぜなりすましを防げるの?

SSL通信を行うには、認証機関が発行した証明書を取得します。つまり、SSLが有効になっているWebサイトは、証明書を取得した正しい所有者が提供しているという信頼を得ることができます(SSL通信を行なっているWebページは、Webブラウザに鍵のマークが表示されます)。SSLと使うことで、なりすましを防げるようになるのです。
 

SSLには複数の種類があるの?

SSLには、大きく分けて「共有SSL」と「独自SSL」があります。さらに独自SSLには、「ドメイン認証型」「企業認証型」「EV型」の3種類があります。
 
ssol01
 

共有SSLの特徴は?

「共有SSL」とは、レンタルサーバ会社が取得したSSL証明書を、そのレンタルサーバの利用者が共有して使います。多くのレンタルサーバでは無料オプションとして提供されており、手軽に導入できるのがメリットです。
 

独自SSLの特徴は?

一方、「独自SSL」とは、SSL証明書を1つのドメインだけで取得して利用します。そのドメインの所有者をしっかりと証明できるため、なりすましを防ぐという意味では共有SSLよりも確実です。
 

3つの独自SSLの違いは?

「ドメイン認証型」「企業認証型」「EV型」は、それぞれ審査の内容が異なります。それによって認証の信頼度が変わるわけですが、取得のための費用も変わってきます。
 

常時SSLとは?

かつてSSL通信は、お問い合わせフォームやログインページなど、Webサイト内の一部のページでのみ使われてましたが、常時SSLではWebサイト全体でSSL通信が使われます。訪問者がどのページに辿り着いても証明書の確認ができ、なりすましを防ぐという意味では非常に有効です。また、Webサイトの運営者にとっては他にもいくつかのメリットがあります。
 

常時SSLってGoogle検索で有利になるって本当?

2014年、Googleは、暗号化されているWebサイトを検索で優遇すると公式にアナウンスしています(ソース)。
 

SSLの種類で検索の有利さは変わるの?

単にURLが「https」で始まっているかどうかが判断の基準であり、SSL証明書の種類は影響しないようです。2016年にGoogleのアナリストが、米ジャーナリストのインタビューに答える形でコメントしています(ソース)。
 

無料の独自SSLがある?

ドメイン認証型の独自SSLを無料で提供している「Let’s Encrypt」というものがあります。国内のレンタルサーバのいくつかは、このLet’s Encryptを使った独自SSLを提供しています。
 

導入手順編

 

ロリポップで無料の独自SSLを使う方法は?

レンタルサーバのロリポップでは、Let’s Encryptを使った無料の独自SSLを提供しています。すでにユーザであれば、下の画面をポチッとするだけでSSL認証が取得できます(操作してから取得までは数時間〜1日くらいかかります)。
 
ssl02_01
 
ssl02_02
 

WordPressのサイトを常時SSL化するには?

ロリポップでのSSL認証の取得が終わっていれば、WordPress側の設定はごくわずか。書き出しURLをhttpからhttpsに変えるだけです。ただし、場合によっては個別記事内のサイト内リンクは手作業で変える必要があるかもしれません。
 
ssl03
 

Webサイトを常時SSL化した後にやっておくことは何がある?

1. SSLのかかってないページにアクセスしようとしたときにリダイレクト(転送)されるように設定します。
2. GoogleのSearch ConsoleでSSL対応のサイトを登録します(「Search Consoleって何?」という人は、これを機に導入してみましょう)。
これくらいです。実際にやってみるとあっけないほど簡単に完了しました。
 

リダイレクトの設定方法は?

「.htaccess」という名前のファイルを編集し、サーバに置きます(あるいはすでに置かれている.htaccessファイルに追記します)。.htaccessの記述については、詳しい人がインターネット上にたくさんいるので検索してみてください。「常時SSL リダイレクト」などのキーワードで検索するといいと思います。
 

Search Consoleの設定方法は?

Search Consoleでは、設定しているhttpサイトをhttpsサイトに変更することができないため、これまでのサイトとは別に新しくサイトを登録します。Search Consoleにログインしたら[プロパティを追加]ボタンを押してhttpsから始まるURLを登録しましょう。
 
ssl04
 

ロリポップ以外のレンタルサーバでLet’s Encryptを使うにはどうすればいい?

さくらインターネットやエックスサーバーなどでも提供しているようです。それ以外のところでも自力でどうにかする方法があるようですが詳しくは知りません。
 

検索での優遇の効果はどれくらい?

今のところ、Google検索での優遇効果はほとんど感じられていません。下の図は、常時SSL化前と後(1カ月前)との検索アクセス推移の比較。青い線が常時SSL後です。アクセス数にはいろいろな要因が左右するため判断しにくいのですが、とりあえず現状ではほとんど差がありません。「徐々に効果が出てくる」というような書き方をしているブログも見かけたので、もう少ししたらまた経過をご報告します。
 
ssl05
 
いずれにしても、手間はほとんどかからずにできるので、ロリポップやさくらインターネットなどでブログを運営している人はやっておいて損はないはず。お気軽にお試しください。