1. HOME
  2. ブログ
  3. コレだけでOK!常時SSL化するとき最低限チェックしておくべきこと

コレだけでOK!常時SSL化するとき最低限チェックしておくべきこと

Webディレクター, コンサルタントのコラム

7月ですね。暑いですね。
7月といえば、webサイトの常時SSL化、終わってますか?

Googleでは、2018年7月の終わり頃にリリースされるGoogle Chromeの新バージョン「Chrome68」から、http接続のページは「保護されていません」と警告表示されることが決まっています。

Chromeのシークレットウインドウでは既にこれが実装されており、http接続のサイトを開くとこのように警告されます。

一体何をしたらいいの……?と考えていたら、なかなか対応できないといったこともあると思います。このコラムでは「コレさえ抑えておけば、とりあえずはOK!」というポイントをご紹介します。

目次

そもそも「常時SSL化」って何…?

SSL化とは、ECサイトやお問い合わせフォームのURLが「https」で始まっていますが、これが「SSL化されているwebサイトである」という証です。SSL化されているwebサイトでは、情報がすべて暗号化されます。暗号化されることで悪意を持ったユーザーによる改ざんなどが起こりにくくなります。

「常時SSL化」とは、このセキュアな情報のやりとりを、webサイト全体で導入しようという動きです。これまでは、フォームや購入画面など個人情報を取得するページのみSSL対応するのが一般的でしたが、Cookieも個人情報の一部である、とする流れもあり、常時SSL化の動きは急激に速まりました。

暗号化されること以外にも、webサイトが本物であることの証明となったり、それによってサイトの信頼性が上がったり、といった利点もあります。また、検索エンジンからの評価も上がると言われています。

証明書、どれを選べばいいの?

常時SSL化の対応が決まったら、まずはどの証明書を選ぶかを考えなくてはなりません。無料で取得できる「独自SSL」といったものもありますが、企業サイトとなると特定の機関(認証局)から発行される証明書を利用するほうが良いでしょう。

認証局から発行される証明書には、3種類あります。

  • ドメイン認証型
    DVと呼ばれるもの。ドメイン名の使用権があることを証明する。
  • 企業実在認証型
    OVと呼ばれるもの。ドメイン名の使用権があること、そのドメインを使用している組織が法的に実在することを証明する。
  • EV認証型
    OV認証に加え、組織が物理的に実在することを最も厳格に認証する。アドレスバーに組織名が表示される。

EV認証型を選択すると、認証プロセスも複数必要となります。また、それなりに費用もかかります。オンラインショップやネット銀行、ネット証券などのサイトでは、EV認証型の厳格さが求められるでしょう。

組織の規模によっても選択肢が変わると思いますので、みなさんのwebサイトの役割と認証レベルとを照らし合わせて選びましょう。

証明書を購入したあとは、コンテンツを確認!

SSL証明書を購入したら、その証明書をサーバーにインストールします。インストールの手順はサーバーによって異なりますので、ご契約のサーバー会社にお問い合わせください。

インストールが完了しましたら、次はコンテンツを確認しましょう。

SSL化をすると、httpで始まるURLのサイトは存在しないものとして扱われます。従って、http~ で始まる「絶対パス」で記述されているサイト内のコンテンツ(html、css、js、各種画像)は、https~ で始まるパスで記述し直さなくてはなりません。なお、相対パスで記述されている場合は、ディレクトリ構造に変更がなければ修正の必要はありません。

CMSをご利用の場合、設定を変更する必要があります。WordPressであれば「設定」→「一般」から、「WordPressアドレス」と「サイトアドレス」の2項目に記載されているURLを、httpsから始まるURLに変更してください。WordPressですと、瞬時にSSL化してくれるプラグインもありますので、チェックしてみましょう。

http→httpsへのリダイレクトも忘れずに。

ユーザーは、変更前のhttpから始まるURLにアクセスしますので、http→https へのリダイレクトを忘れずに設定しましょう。永久的に転送してくれる「301転送」をオススメします。

ここまで対応できれば、ひと安心です!

その他、チェックしたほうがよいもの

サイトによってはこのほかにもチェック・対応したほうがよい点もあります。チェックポイントをいくつかピックアップしますが、サイトに導入しているツール類をいま一度チェックして、対応漏れのないようタスクリスト化したほうが良いかもしれませんね。

  • Google Analyticsなど、アクセス解析ツールのプロパティー設定
    サイトURLがhttpから始まるURLで設定されているはずですので、httpsに変更する必要があります。
  • Google Search Console
    新たに、httpsから始まるURLでプロパティを新規で追加しなくてはなりません。
  • SNS関連
    Facebookのいいね!ボタンや、Twitterなど各種SNSのシェアボタンを導入している場合も確認したほうが良さそうです。

上記のほか、MAツールや広告のトラッカーなどのタグを埋めているケースも多いと思いますので、埋めているタグに関してはくまなくチェックして、SSL化対応をしましょう。

早急に対応して、Chromeのアップデートに備えよう!

社内で対応するのは難しいな…という場合は、迷わず制作パートナーさんなど詳しい方にご相談ください。サイトの規模にもよりますが、30ページほどのwebサイトでしたら、検証も含めて1週間~10日ほどで対応していただけるはずです。

すぐに対応手配して、月末に慌てないようにしましょう!

ダウンロード資料へ

株式会社ジェネシスコミュニケーション

ジェネシスのマーケティングプロフェッショナルが編集を担当。独自の視点で厳選した実践的ナレッジをお届けいたします。

「マーケの強化書」更新情報お届け

マーケの強化書の更新情報をお届けします。
メールアドレスをご登録ください。
※入力前に「個人情報保護方針」を確認ください。

採用情報

採用情報はコチラから