Googleが常時SSLを推奨する理由とWordPressサイトをhttps通信に変更するための実装手順(お名前.com 共有サーバー編)

2014年8月7日、GoogleがHTTPS暗号化通信(SSL/TLS) をランキングシグナルに利用することを発表したことで、旧サイト制作の手法ではフォーム等の個人情報をサーバーとやり取りする必要があるページに利用されることが多かったHTTPS暗号化通信(SSL/TLS) ですが、昨今のサイト制作では、サイト全体を常時SSL対応させることを検討する時代になってきています。

そもそも常時SSLとは何なのか?

常時SSLとはウェブサイトの全てのページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法です。これまでは個人情報を入力する場面など、重要な情報をやり取りする場面のみで通信を暗号化する方法が用いられてきましたが、これをウェブサイト全体に広げる方法が常時SSLです。

引用元:Symantec公式サイト

※Google ChromeがHTTPページへの警告を強化

2017年4月27日、Googleの公式ブログでは、Chrome62よりHTTPページへの警告を強化するとの発表がありました。パスワードやクレジットカードのフィールドがある場合、ChromeはHTTPページを「安全でない」と表示する仕様に変更されます。非セキュア表示は2017年10月からを予定しており、「ユーザーがHTTPページでデータを入力したとき」と「シークレットモードでアクセスしたすべてのHTTPページ」で「セキュリティで保護されていません」という警告を表示します。

 

なぜ、Googleが常時SSLを推奨するのか?

セキュリティはGoogleの中でも最優先事項であり、Google公式ブログでは、旧サイト制作におけるフォーム等の個人情報をサーバーとやり取りする必要があるページ以外にも、サイトそのものがマルウェアに感染したり、改ざんされたりする危険を避ける意味でも常時SSL化する必要があると言っています。常時SSL化を推奨・強化していく流れの中で、対応サイトで受けられる恩恵がランキングシグナルへの活用、つまり検索順位への影響です。

また常時SSL化のメリットはセキュリティ面だけではありません。通信速度や信頼性の向上など、SEOにおいて重要な項目を含んでいます。ここでは、Google公式ブログだけでは読み取れない裏の意図についても確認しておきましょう。

 

常時SSL化における5つのメリットとは?

メリット①:常時SSL化によるセキュリティの強化

常時SSL化することで、通信内容の盗み取りを防ぐことができます。近年ではスマートフォンやタブレットの急速な普及により、公衆無線LANに接続する機会が増えたため、公衆無線LANでは攻撃者によるなりすましAP(アクセスポイント)の危険があリます。常時SSL化していることで、Webサイトを訪れるユーザーが万が一、なりすましAPに接続してしまったとしても、通信内容を傍受されることはありません。

メリット②:HTTP→HTTPSに変更することで通信速度が向上する

旧サイト制作の手法では、SSLを導入するとサーバー側とクライアント側の双方に暗号化通信による負荷がかかるため、サイトの読み込みに時間がかかるというのが常識でした。しかし、現状はサーバー側とクライアント側ともにCPUの処理速度が向上したことで、HTTP/HTTPSに関係なく、レスポンス速度に大きな差はありません。むしろ、SSL化によりHTTP/2というプロトコルを利用できるため、ロード時間が50〜70%削減され、SSL化されているページの方がレスポンスが早くなってきています。

注釈:Webを支える通信プロトコル「HTTP」の新しいバージョン「HTTP/2」は2015年に発表され、2009年の「HTTP/1.1」から発表から約16年ぶりに改訂されています。

メリット③:Webサイトの信頼性が向上する

SSL証明書にはいくつか種類があるが、EV SSLの場合はアドレスバーに認証済みの企業名が出る。全ページで社名が出ることで、本物のサイトだということがエンドユーザーにわかりやすい。

メリット④:Webサイトのアクセス解析の精度が向上する

サイトの常時SSL化を行うことで、リファラー情報(リンク元情報)の増加が期待できます。「http(遷移元)→http(遷移先)」「http(遷移元)→https(遷移先)」「https(遷移元)→https(遷移先)」はリファラー情報の引渡しが可能ですが、「https(遷移元)→http(遷移先)」ではリファラー情報の引渡しが行えません。

メリット⑤:Webサイトを参照するアプリやプログレッシブウェブアプリ(PWA)が制作しやすくなる

HTTPとHTTPSのページが混在している場合、Cookie情報の参照を必要とするページとしないページを個別指定する必要があります。常時SSL化することでWebアプリ制作の開発を効率化することが可能です。

 

ただし検索順位への影響は、目的であって結果はでない

冒頭でも書いたように、常時SSL化されているWebサイトは、SSL非対応のサイトと比較すると、Googleから優遇されます。しかし、ランキングシグナルとしては、軽微な影響力しか持ちません。競合サイトの評価が同等であれば、常時SSL化されているサイトが上位になるかもしれない程度と考えてください。

SEOだけを目的として常時SSL化を行いたいと言うことであれば、手間も費用も掛かることなので、やめておいた方が良いと思います。目的はあくまでセキュリティ面の強化やユーザーからの信頼獲得です。結果的に常時SSL対応がSEOに貢献する、というのが正しい考え方です。

 

WordPressサイトを常時SSL化するための実手順【お名前.com 共有サーバー編】

さて、ここまでの説明で常時SSL化についての理解をしていただけたと思います。では実際にSSLを適用し、https通信に切り替えるには何を行えばよいのでしょうか。

ここでは、WordPressサイトを常時SSL化の対応させる実例を元にご説明させていただきます。利用しているサーバーは、お名前.comの共有サーバーです。SSLはアルファSSL(独自SSL)を利用します。

<常時SSL化の実例条件>

手順1:お名前.comでアルファSSLを取得する

サーバー契約管理ツール サーバーNaviにログインしてください。
オプションの追加を選択してください。
独自SSL(アルファSSL)を選択してください。
導入先のドメインを選択し、申し込みを完了してください。入金に不備がなければ、2時間程でSSL証明書が設定されます。

手順2:WordPressの設定を変更する

メニューより設定を選択してください。
「http://」→「https://」に変更・保存してください。

手順3:サイト上の内部リンクをhttpsに変更する

今回は内部リンクを簡単に書き換えるために、「Search Regex」 というプラグインを利用しています。プラグインのインストール後、「Search Regex」を有効にしてください。

ツールよりSearch Regexを選択してください。
http://をhttps://にリプレイスしてください。
念のため、ソースを確認し、全ての内部リンクが「https://」に書き換わっていることを確認してください。修正漏れがあった場合は、ソースを直接修正します。

「http://」の内部リンクが残っていた場合、常時SSL化に失敗してしまうので、ご注意ください。普段あまりコードを触らないような方の場合は、この内部リンクの修正が途中でできなくなったり、次の手順4でご説明する.htaccessファイルの書き換えが上手くできず、常時SSL化に失敗してしまうことが多いようです。

手順4.htaccessファイルにリダイレクト処理を記述する

ドメインルートディレクトリの.htaccessファイルにHTTPからHTTPSへのリダイレクト設定を記述してください。リダイレクト処理は301です。

手順5:Google Search Consoleの設定変更(導入している場合)

Google Search Consoleでは、新しくhttps://のプロパティを追加する必要があります。http://で設定している内容を自動で反映させることはできないため、プロパティの追加後は再設定してください。

https://のプロパティを新規追加してください。

手順6:Google Analyticsの設定変更(導入している場合)

プロパティ設定のデフォルトのURLはhttp://→https://に変更・保存してください。

手順7:常時SSL化が正常に行えている事を確認する

Chromeにて、常時SSL化の対象ページを表示し、状態を確認します。常時SSL化に成功している場合は「保護された通信」と表示されます。(その他のブラウザでも確認可能です。)

 

以上で、「WordPressサイトを常時SSL化するための実手順【お名前.com 共有サーバー編】」のご紹介は終わりです。

投稿者: Yuki