常時SSL(https化)導入手順・注意点とSSLページのインデックスまでにかかる時間

常時SSL（Always On SSL）は、ウェブサイト内のセキュリティの強化を進めるために必要なものですが、実はそれだけでなく、ユーザーとウェブサイトの運営者にとって、数多くのメリットがあります。

ログインページや、入力フォームなどの特定ページだけでなく、すべてのページをSSL化する常時SSLを行うことが重要です。そこで今回は常時SSLについて、その概要から導入方法まで説明していきます。

httpsとは？

ウェブページのURLの前に、httpやhttpsと表示されているのはご存知でしょうか？

httpとは通信プロトコルのことで、いわゆる通信のためのルール（言語）を指します。つまり、暗号化されている通信になります。このルールに基づいた命令や文法でやり取りして、ネット上の通信が正常に処理されるようになります。

通信プロトコルであるhttpはhttpsのように暗号化されていないため、通信の盗聴やウェブサイトのなりすましなどによって、個人情報が盗まれるリスクがあります。

常時SSL化によって

常時SSL化を実現した通信が行われると、個人情報を安全な通信で取り扱うことができるようになります。

以前までは、ログインページやフォーム入力ページなどをSSL化すれば良いとされてきましたが、SSL化していないページがウェブサイト全体の中に一つでもあると、安全ではないサイトと認識されるようになりました。

Chromeなどのブラウザでは、こうしたページを「保護されていない通信」と警告を出してくれるので、不安に思う方はアクセスしなくなってしまうことも予想されます。

そのため、全てのウェブページをSSL化する、常時SSL化によって通信の暗号化が保証し、ユーザーが安心してウェブサイトを利用できるようにする必要があります。

googleはランキング要素のシグナルとして以前から発表

「Google Chrome」では、SSL化されていないウェブページについて、2017年1月にリリースされたChromeの最新バージョンから、アドレスバーの左に「保護されていない通信」と表示するようになりました。この時点では、アドレスバーのみの目立たない表示でしたが、さらにそのあとバージョンアップが行われました。

2017年10月にリリースされたバーションでは、パスワードやクレジットカード情報を送信するページだけでなく、検索やお問い合わせフォームなど、ユーザーが情報を入力してそのデータを送信するページに対しても、この記載が行われるようになりました。

さらに、2018年2月には、2018年7月からSSL化されていないページについては、アドレスバー左にインフォメーションボタンのようなマークが表示され、「このサイトは保護されていません」という表示が出るするという発表がありました。

非SSL化のウェブサイトの表示例

では実際にSSL化されているページとそうでないページを確認してみましょう。

fireFoxの場合

SSL化されているページはこのように表示されます。

アドレスバーの左側に緑のカギマークが表示されます。
その左にあるマークをクリックすると、安全な接続という文字が表示されます。

一方で、SSL化されていないページはこのように表示されます。

右側の＞をクリックすると、サイトのセキュリティに関する記述が出てきます。

Google Chromeの場合

SSL化されているページはこのように表示されます。

鍵マークと、「保護された接続」という表示がされます。

SSL化されていないページはこのように表示されます。

アクセスログは「個人情報」？

なぜいま常時SSL化が必要になっているのでしょうか。実はウェブサイトを利用する際、サイト内で行った行動や入力した情報、アクセスログは「個人情報」であると言う考え方が広まっているからです。

2015年に公布された「改正個人情報保護法」が2017年に施行されて以来、各企業は改正法に基づいた個人情報の取り扱いが必須となっています。また、個人でも、以前のように安易に他人や企業に自分固有の情報を渡さないなど、個人情報に対する意識が高まりつつあります。

そんな中、株式会社マクロミルが2017年に行った全国20-69歳の1,000名を対象に調査した「個人情報に対する意識・実態調査」によると、

 
単体で「個人情報」であると思う情報は、多い方から

• 電話番号・携帯電話番号91.4％
• マイナンバー88.8％
• 免許証番号87.6％
• 住所87.3％
• 銀行口座番号86.7％
• （自分であることがわかる）顔写真83.4％
• パスポート番号83.2％
• 指紋データ81.9％
• 自分の名前が入ったメールアドレス81.2％

となっています。
どれも個人を特定できる情報と認識されていることがわかります。

また、「そのほかどのような情報と氏名が結びつけば、個人情報として認識できるのか。」という質問に対しては以下のような回答がありました。

• 宗教・信条39.4％
• 自宅の最寄り駅41.2％
• ネットのログ情報46.9％
• GPSデータ51.3％
• 防犯カメラの映像52.2％
• SNSに投稿された写真や動画54.3％
• 会社や自宅の評価情報54.8％
• 所属している会社・学校の連絡先57.4％

直接的には個人と紐づかない情報ばかりですが、それでも「個人情報」と認識している人の割合は、過半数に上ります。

さらに注目したいのは「ネットのログ情報」です。約半数の人が「ネットの閲覧情報は他人にのぞかれたくないプライベートなもの」と考えているようです。

個人情報保護法が改正され、個人情報に関する教育や意識の高まりの中で、本来は個人情報とは考えられなかった情報についても、個人情報としてとらえられるようになってきています。

引用元：個人情報保護法に関する調査！2017年5月30日施行の改正個人情報保護法は一般にどの程度認知されている？

常時SSL化を行う方法

常時SSL化を行う際の流れは以下の通りです。

1. SSL証明書の購入
2. SSL証明書のインストール
3. URLの修正
4. httpからhttpsへリダイレクト
5. Search Consoleへの登録
6. cookieを使っている場合、secure属性を付与するかどうかの確認

では詳しい手順を説明していきます。

SSL証明書の購入

まずはSSL証明書の購入です。

SSL証明書には、ドメイン認証型、実在証明型、Extended Validationの3つの種類があります。

なぜ3つの大きな違いは認証レベルの違いです。

ドメイン認証型

通信を暗号化することのみに特化したSLL証明書です。導入する際は、サイトのドメイン所有名義のみの確認になるため、オンラインでドメインの実在確認を行い、すぐに導入可能です。

実在証明型

通信の暗号化とそのサイトを運営している会社が実在していることも証明するSSL証明書になります。そのため、実在しない企業は認証されません。発行されるSSL証明書には企業情報が埋め込まれるので、なりすましを防ぐことができます。

EV証明書

実在証明型よりもさらに厳格な審査が行われるSSL証明書です。認証に時間が掛かりますが、認証されるとアドレスバーが緑色に変わるため、SSL化が一目でわかるようになります。

 
SSL証明書の認証レベルを踏まえ、購入を行います。

購入は、「シマンテック」「グローバルサイン」「ジオトラスト」といった会社から購入します。

SSL証明書のインストール

SSL証明書を購入したらインストールをしましょう。

URLの修正

SSL証明書をインストールしたら、httpからhttpsへ記述を修正します。

以下の内容をhttpからhttpsへ書き換えるですが、必ずバックアップを取っておきましょう。

• 外部ファイル(CSSファイルやJavaScriptなど)のURL
• 外部ファイルに記載している背景画像などのURL
• 内部リンクと画像リンク
• 絶対パスでURLを指定している箇所

※相対パスが記載されている場合は指定しなくても問題ありません。

修正が終わり、すべてのページの書き換えが済んだと思っていても、実はまだhttpのページが残っている可能性があります。その場合、ブラウザによっては「httpsページ内にhttpリソースが混在する」という警告が出るケースがありますので、チェックして修正を行いましょう。

httpからhttpsへリダイレクト

修正が完了したら、.htaccessでhttpからhttpsへのリダイレクトを掛けます。

この時、リダイレクト前と後のページは必ずペアになるように、調整を行いましょう。リダイレクト前のページで評価されていた、SEO効果を引き継ぐために必要な作業ですので忘れずに行いましょう。

リダイレクトの設定後、すべてのページにリダイレクトが掛かっているかHTTP Status Code Checkerを利用してチェックしましょう。

このツールでURLが恒久的に変更された場合に用いられる転送処理のステータスコード、301リダイレクトになっているかどうかをチェックします。

301リダイレクトを行わないと、検索エンジンが転送前のURLと新しいURLを全く別物として認識し、以前得た被リンクなどの評価が引き継がれなくなってしまいます。つまり、検索ページで上位表示されていたサイトも、検索結果から消えてしまうといったことが起こりえます。

また、転送がうまくいったからといって旧URLのページを削除してしまうと、評価が引き継げない可能性もでてくるため、新しいURLにしてから2ヶ月ほどは削除せずそのまま公開し、2ヶ月ほど経ったら非公開するのがオススメです。

Search Consoleへの登録

新規URLでの運用が始まったら、Search ConsoleとAnalyticsの連携を行っていきます。サーチコンソールはGoogleの検索結果で、自社サイトのパフォーマンスを監視したり、管理したりすることのできる無料サービスです。

同様にAnalyticsの連携、Analyticsのアカウント内のhttpになっている設定箇所をhttpsへ変更しましょう。

cookieを使っている場合、secure属性を付与するかどうかの確認

cookieを使っている場合、secure属性を付与すると、Googleの検索結果では優遇されます。

secure属性は、Cookieの送信をhttps接続時のみ行えるように制御する仕組みです。もし同じドメインでhttpでの通信を行うページが残っていた場合、こちらからもcookie情報が取れてしまうため、常時SSL化する意味がなくなります。secure属性の付与は忘れずに行いましょう。

 
一通り作業が終わったら最終チェックを行いましょう。

サイト内のリンクURLやcanonicalタグを使用したページが残っている場合もあります。このような残ったページにユーザーがアクセスして、エラー表示になった画面をみて不安にさせないためにも、Googleに評価されるためにも、ぜひ忘れずに行ってください。

常時SSL化はサイトリニューアル時には不向き

常時SSL化をサイトリニューアル時に行うと、不具合が新旧両方のサイトで起こる可能性があります。問題ないだろうとリニューアルとSSL化を同時進行で進めてしまうと、とんでもないバグが出るなど重症化してしまう恐れがあるので注意しましょう。

実際にやってみました。

とあるサイトで早速やってみました。

常時SSLにした後のインデックス状況

このサイトはページ数が150ページ程度ですが、約10日間で全てhttps://にてインデックスされ直しました。（そのあと幾つかぺージを削除したのでちょっとデコボコです。）

非SSL（http://）のインデックス状況

非SSLからSSLに対してちゃんとリダイレクトやHSTS設定しているからか、非SSLのページは猛烈な勢いでインデックスが無くなっているのがわかります。

こちらはウェブマスターツールの表示上完全にインデックスが無くなるまでに１ヶ月程度時間がかかっています。

ちょっとした重複期間があるようで、大型サイトではこの期間の検索順位に影響が出る場合もあるかもしれません。

気になる順位への影響は？

ほとんどに変わりませんでした。順位グラフをお見せするまでも無いぐらい変わらないです。

おわりに

ここまで常時SSL(https化)導入の手順・注意点についてご紹介しました。
常時SSL化は、今のところ必ず行わなければならないものではありません。しかし、法律の改定やユーザーのアクセスログに対する意識など変化してきていますので、早めに導入を進めましょう。