ホームページをhttpsにするには？常時SSL化を導入する手順・メリットを解説

httpsとは

まずは「https」の仕組みについて解説します。

そもそも”http”とは「HyperText Transfer Protocol」の略で、ホームページを表示する際に用いられる通信プロトコルのことです。

ホームページの情報は、「サーバー」に格納されています。これをWebブラウザで閲覧する場合、サーバーとデータ通信しなければなりません。このときの通信プロトコルが「http」です。

インターネットの利用環境は人によって大きく異なります。たとえばWebブラウザはGoogle Chrome・Microsoft Edgeなどの種類がありますし、OSもWindows・Mac・iOS・Androidなどさまざまです。しかし”http”という共通の通信プロトコルを用いれば、利用環境に関わらずホームページを表示できるのです。

ただし、”http”は暗号化されていないため、通信途上で第三者による情報盗聴・改ざんのリスクがあります。たとえば、”http”で情報をやり取りするECサイトにクレジットカードの情報を入力すると、その情報が通信途上で盗まれてしまう可能性があるのです。

このリスクを解決するのが”https”です。

”https”とは「Hypertext Transfer Protocol Secure」の略で、”SSL（Secure Sockets Layer）”という暗号化通信技術によってセキュリティが高められています。

“https”でやり取りされるのは暗号化された情報であるため、たとえ通信途上で盗まれたとしても、その解読は極めて困難です。

なお、現在はSSLが発展したTLS（Transport Layer Security）という暗号化通信技術が主流です。しかし実務的には、TLSを導入することも「SSL化する」と表現します。

ここまでの技術的な話が難しいという場合は、「httpsのほうが安全」という理解で問題ありません。

独自SSLの種類

SSLには「独自SSL」と「共用SSL」の2種類があります。

独自SSLは、独自ドメインごとに導入するものです。一方で共用SSLは、同じサーバー（共用サーバー）を使っている複数のホームページに導入できるSSLのことを指します。それぞれを導入した場合、ホームページのURLは次のように設定されます。

比較項目	独自SSL	共用SSL
SSL導入前	http://example.com
SSL導入後	https://example.com	https://△△△-〇〇〇server.com/ ※△はユーザーごとに割り振られる文字列 ※実際のURLはサーバー会社ごとに異なる

共用SSLを導入すると、サーバー会社のドメインにURLが変わってしまいます。一方、独自SSLを導入した場合の変更点は、httpにsが追加されることのみです。

ドメインも企業ブランディングの一つであるため、基本的には独自SSLを導入するといいでしょう。

なお独自SSLは、サイトの正当性を示す「SSLサーバー証明書」を、認証局から発行してもらうと導入できます。この認証方法にも3つの種類があり、それぞれ認証レベルや費用が異なることが特徴です。

種類	概要	認証レベル	費用相場（年額）
ドメイン認証（DV）	ドメイン名が正しいか認証される	低い	数千円
企業認証 （OV）	ドメイン認証に加え、会社が実在しているかも認証される	中程度	数万円
企業認証拡張型（EV）	ドメイン認証・会社実在認証に加えて、電話での確認も実施される	高い	数十万円

なお、認証レベルに差があっても、暗号化の強度には違いがありません。そのためほとんどのホームページは、ドメイン認証で独自SSLを導入します。

ホームページを常時SSL化するメリット

ここまで紹介した情報をふまえると、ホームページを常時SSL化するメリットとしては次の4点が挙げられます。

• セキュリティを強化できる
• ホームページ利用者に安心感を与えられる
• ホームページの表示速度が向上する
• SEO対策につながる

それぞれ詳しく見ていきましょう。

セキュリティを強化できる

通信セキュリティを強化できる点は、常時SSL化最大のメリットだといえます。

顧客からの問い合わせ・決済・ログインなど個人情報を扱う仕組みのあるホームページは、必ず常時SSL化しておきましょう。

悪意のある第三者からの攻撃を完全に防ぐことは難しいですが、SSL化しておけば暗号化された情報しか盗み見られないため、個人情報が流出してしまうリスクを大幅に低減できます。

ホームページ利用者に安心感を与えられる

個人情報を守るための知識が広がり、「SSL化されていないホームページは危険」という認識を持つユーザーも増えています。また、SSL化されていないホームページにアクセスした場合に「保護されていません」と警告を表示するブラウザも多いです。このためSSL化されていないホームページは、不安感からユーザーに離脱されやすいのです。

一方、常時SSL化したホームページなら、ユーザーに安心感を与えられます。問い合わせ・購入などを目的としたホームページの場合、SSL対応は必須です。

ホームページの表示速度が向上する

SSLを導入すると、「HTTP/2」というプロトコルが適用されます。これはWebページの表示速度を向上させるための新しい通信プロトコルで、従来のhttpよりも高速データ通信が可能です。

そのため表示速度が向上することも、常時SSL化のメリットとして挙げられます。ローディング時間によるストレスも離脱原因となるため、コンバージョン率を高めたい場合はSSL化するべきでしょう。

SEO対策につながる

Googleなどの検索エンジンは、SSLに対応しているかどうかもランキング要因として扱っています。

また、ホームページの表示速度もランキング要因であるため、検索結果で上位表示を目指したい場合もSSLに対応しておくのがおすすめです。

ホームページをhttpsにする方法

ホームページに独自SSLを導入してhttpsにする方法としては、次の2通りが考えられます。

• 自社で設定する
• コーディング業者に依頼する

それぞれのメリット・デメリットについて比較してみましょう。

自社で設定する

もし社内に技術者がいれば、自社でSSLを設定することも可能です。また、利用しているサーバーによっては、簡単に常時SSLを導入できる仕組みが用意されていることもあります。社内で対応できれば、コストはSSL認証に伴う実費のみです。

ただしWebに詳しい担当者がいる場合を除き、自社設定には不安が残ります。設定ミスや更新忘れによって、ホームページが正しく表示されなくなる可能性もあるためです。

コーディング業者に依頼する

自社でのSSL対応に自信がない場合は、コーディング業者に相談してみてください。

コーディング業者にはコーダーだけではなくWebエンジニアが在籍しており、Webページの制作から公開、SSL対応まで一括して依頼できます。もちろん既存ホームページのSSL対応だけ依頼することも可能です。

ホームページを常時SSL化する手順

それでは最後に、ホームページを常時SSL化する手順について見ていきましょう。

1. サーバーがhttpsに対応しているか確認
2. データのバックアップを取得する
3. CSR（証明書署名要求）を作成する
4. SSLサーバー証明書を取得する・インストールする
5. URLをhttpsに置換する
6. httpからhttpsへリダイレクト設定する
7. ホームページを目視で確認する

いずれかの工程を難しいと感じた場合は、コーディング業者に依頼してみてください。

1.サーバーがhttpsに対応しているか確認

まずは利用しているサーバーが、httpsに対応しているかどうか確認しましょう。古いレンタルサーバーの中には、httpsに対応していないものもあるためです。

「サーバー名＋SSL対応」などと検索するか、レンタルサーバー会社のホームページを確認すれば、対応可否がわかります。

2.データのバックアップを取得する

サーバーがhttpsに対応していたら、SSL化を進めていく前に、ホームページのバックアップを取得しておきましょう。SSL化の作業中に万が一トラブルがあったとしても、元の状態に戻せるようにしておくためです。

なお、バックアップ作業が難しい場合、このタイミングでコーディング業者に相談することをおすすめします。（バックアップしないまま作業を進めると、元の状態に戻せなくなる可能性があるため）

3.CSR（証明書署名要求）を作成する

つづいてCSR（Certificate Signing Request）を作成します。これはSSLサーバーの証明書を取得するために必要なリクエストのことです。

具体的な手順は、利用中のサーバーによって異なります。また、レンタルサーバー会社のマニュアルを読んでも、専門用語が多すぎて理解できないかもしれません。もし手順に不安を感じたら、このタイミングでもコーディング業者に相談してみてください。

4.SSLサーバー証明書を取得する・インストールする

CSRを作成したら、SSLサーバー証明書を取得します。これはホームページへ安全に接続できることを示す電子証明書のことです。

先述したとおりSSLには「共用SSL」と「独自SSL」の2つがありますが、自社の独自ドメインを維持したままSSL対応するためには、独自SSLの証明書を取得してください。

SSLサーバー証明書を取得したら、サーバーにインストールします。（レンタルサーバーによっては、認証局への認証後、自動でインストールされます）

このインストール方法もレンタルサーバー会社によって異なるため、マニュアルを確認してみて、難しく感じるようでしたらコーディング業者に相談するのがおすすめです。

これでホームページのSSL化は完了です。ただしホームページを適切に表示するためには、さらに設定しなければならないことがいくつかあります。

5.URLをhttpsに置換する

ホームページは、HTMLやCSSなどのマークアップ言語で構築されています。このコード内にもURLが用いられていますが、それらは古い”http”のままです。

そのためソースコード内のURLのうち、絶対パスで記載しているリンクのみ、URLをhttpsに置換します。（相対パスやルートパスは置換不要）

このように、SSLの導入においてはコーディング作業も生じます。そのため全工程をスムーズに進めるためには、最初からコーディング業者に依頼するのがおすすめです。

6.httpからhttpsへリダイレクト設定する

httpからhttpsへのリダイレクトも設定しておきましょう。リダイレクトとは、ブラウザで開いたURLを、別のURLに転送することです。

もしSSL導入後にリダイレクト設定をしないと、たとえばブックマークから古いURL（httpのURL）にアクセスしたユーザーにはホームページが表示されません。また、古いURL宛てのリンクも無効になってしまいます。

リダイレクト設定をしておけば、古いURLにアクセスしたユーザーも最新のSSL化したホームページに誘導できますし、古いURL宛ての外部リンクも活かせることがポイントです。
また、リダイレクトすることで、http時代のSEO評価をhttpsのURLに引き継げます。

なお、Googleアナリティクス・Googleサーチコンソールなどでアクセス情報を分析している場合は、このタイミングで登録情報をhttpからhttpsへ変更しましょう。

7.ホームページを目視で確認する

最後にホームページを目視で確認します。設定したと思っていても、抜け漏れが生じている可能性もあるためです。

たとえばGoogle ChromeでSSL化されたホームページにアクセスした場合、アドレスバーの左端に警告が表示されず、「この接続は保護されています」と表示されていればSSL化されています。

また、httpsのURLにアクセスし、Googleアナリティクスなどの分析ツールで計測できるか（計測タグが発火するか）どうかも確認しておきましょう。

また、httpのURLにアクセスして意図どおりリダイレクトされるかや、サイト内の画像などがリンク切れ（非表示）になっていないかなども要チェックです。

ホームページの常時SSL化もコーディングアーミーにおまかせ！

出典：コーディングアーミー

ユーザーの個人情報漏洩を防ぐためには、ホームページの常時SSL化が欠かせません。

レンタルサーバー会社によっては手間なくSSL対応できることもありますが、サーバー操作が難しかったり、マニュアルを読んでも専門用語が多すぎて理解できなかったり、自社で対応できないケースもあるでしょう。

もし自社でのSSL対応が難しい場合は、ぜひコーディングアーミーにご相談ください。

既存ホームページのSSL化は25,000円〜で対応しており、サーバー側でのSSL対応はもちろん、リダイレクト設定やソースコードの修正などもワンストップで対応しています。

SSL化にかかる費用はサーバー状況などによっても異なるため、まずはお気軽にお問い合わせください。