Webサイトを常時https・常時SSLにしておく理由と注意点

LINEで送る
Pocket

はじめに

2018年7月よりGoogle Chromeにおいて、Webサイトを閲覧している人がHTTPページにアクセスすると、「保護されていない通信」ラベルが常時表示されるようになります。また、iPhoneでインターネットを閲覧する際に使用するブラウザsafariでも、「保護されていない」までにはいかないまでも「鍵マーク」を表示させています。さらに、同様に有名なブラウザfirefoxでは「HTTPS Everywhere」という、デフォルトの接続方式を「HTTPS」へ切り替える拡張機能を用意しています。

HTTPSは、Webサイトやモバイルアプリを使う際に、”安全”に使用するための通信技術です。実は、この設定がないとデータを抜き取られたり、改ざんされたりするリスクがあることをご存知ですか?加えて、これもあまり知られていませんが、Googleはhttpsの有無がサイトの検索順位を決定する要素の一つになっていることを発表しております。

では安全とはどのような環境下での安全なのか、なぜGoogleやAppleなどの各ベンダーは推進するのか、そして対応する際の注意点を交えながらそれらについて説明します。

httpsとは、安全にデータを通信する経路のこと

クリニックや病院に限らずURLをよく見ると、最初に始まるのは「http」か「https」のどちらかに気づくことができます。httpは「Hyper Text Transfer Protocol」、httpsは「Hypertext Transfer Protocol Secure」の略で、違いは「Secure」があるかどうか、文字だけで判断すると、「安全かどうか」の違いです。

この辺はどうしてもテクニカルな話をしないと伝わらないので、図を交えながら詳しく説明させてください。

検索エンジンやSNSなどでWebサイトのURLをクリックすると、その裏側では下の図のような動きをしています。

平たく言うと、まずWebサイトが格納されいてるサーバーに「Webサイトを見たい」というリクエストが送られます。それに対してサーバーが「これがWebサイトの中身です」と利用しているWebブラウザにレスポンスを返してくれます。その結果世の中の人はWebサイトを閲覧することができています。

このようなリクエストやレスポンスの一連の流れの経路を「プロトコル」といい、この経路を安全にするのが「https」です。

第三者による「盗聴」や「改ざん」を防ぐため必要

インターネットはとても便利なサービスである一方で、リスクを孕んでいます。httpsにせず、httpのままで設定していると、やろうと思えば、いとも簡単にインターネット上のデータを盗み見することができます。また、データの送受信を途中で遮り、データの中身を書き換えることができます。

このような第三者による盗聴や改ざんを防止するのに有効な一つの方法がhttpsなのです。

httpsかどうかを確認する方法

PCやスマホでインターネットを閲覧する際は、一般的にブラウザ(IE、Chrome、Safari、firefoxなど)を使用しますが、その上部にあるURLをご覧ください。ここに鍵マークが付いていたり、緑色で表示されていたりします。

PCのGoogle ChromeでWebサイトにアクセスした場合(左がhttp、右がhttps)

スマホのGoogle ChromeでWebサイトにアクセスした場合(左がhttp、右がhttps)

スマホのsafariでWebサイトにアクセスした場合(左がhttp、右がhttps)

PCのInternet ExploreでWebサイトにアクセスした場合(左がhttp、右がhttps)

PCのfirefoxでWebサイトにアクセスした場合(左がhttp、右がhttps)

注意と対策

では、単純にhttpsに切り替えてしまって良いかと言うと、ここが厄介なところ。所定の手続きに沿って設定してあげないと、お持ちのWebサイトに悪影響を与えてしまうことがあります。それは例えば、「『ページが見つかりません』の乱発」、そして「検索順位の下落」です。

httpをhttpsに変えることは、中身や見た目は変わりません。URLが変わるだけです。「そのぐらいの変化?」とパッと見た感じには思えてしまうのですが、インターネットにおいてはURLが変わることはとても大きな、重大なことです。

例えば、名刺や看板などの外部に配布する媒体には、httpでURLが記載されていることが多いと思います。これらを見た人がhttpのURLをタイピングしてアクセスした場合、何も設定していないと「ページが見つかりません」と表示され、何も見えなくなってしまいます。

また、Googleの検索順位の決め方はURL単位で決めています。そのため、URLが変わったことをGoogleに知らせないと、平たく言うと、今まで蓄積させた評価がゼロになってしまうので、検索順位が下がったりすることがあります。

このような注意が必要ですので、しっかり対策を施してあげましょう。技術的な話では参考となるURLを下記にリストアップします。意思決定者の皆様は、「昔のhttpのURLにアクセスしたら、新しいhttpsのURLに転送されるか」だけはしっかり確認しましょう。それはトップページだけでなく、それ以外のページもです。

常時https・常時SSLを設定する際の手順をまとめた参考URL

ブログの完全HTTPS化を完了、HTTPからHTTPSへの移行プロセスを共有 | 海外SEO情報ブログ

常時HTTPS化+ドメイン名変更、SEOの悪影響ゼロで進めた手順をすべて公開! | 編集長ブログ―安田英久 | Web担当者Forum

アメブロ2017 – 大規模サービスhttps化 ~ All Greenを目指して ~

httpからhttpsに切り替える際に見ておくべきSEOにおける14のチェックリスト|ferret [フェレット]

 

LINEで送る
Pocket

最新記事