http → https切り替え（常時SSL化） その背景とポイント

Twitter

「https」っていうのに変更した方がSEOに有利って聞いたんですが、本当ですか？

そんな質問を立て続けに受けました。

確かに、広告や営業メール、または色々なブログなどでは、「httpsに変更するとSEOに有利」または「httpsにしないとSEOに不利」という表現が利用されていますので、「httpsにする＝SEO対策」という認識になっているんだと思います。

そこで今回は、地方＆経営者の皆さんが、サイトを 「https」にする（SSL化）についたどう理解したらいいのかをまとめて紹介したいと思います。 

「http」「https」と言われても「…？」と言う方も多いかと思います。

皆さんの会社のサイト

http://*******.co.jp

と表記するかと思いますが、先頭にある「http://」のことです。

インターネットの通信原理というところから始めしてしまうと、この記事も終わらない気がしますので（笑）、今回話題になっているのは、この「http://」のところを「https://」に変更することだと思ってください。

単にアドレスの先頭にある文字が「http」か「https」の違いなのですが、インターネットの通信規格上、「https」の場合は「通信が暗号化される」という違いがあります。

何のために暗号化するのかと言うと、暗号化することで外部から通信内容をのぞき見されることを防ぐためです。

インターネットの通信は不思議なもので、今、皆さんは、会社やご自宅のPCまたは、出先のスマホでこのブログ記事を読んでいるハズですが、その時、

皆さんのPC　　　 <---> 　ブログ記事があるサーバ
皆さんのスマホ　 <---> 　ブログ記事があるサーバ

の間をデータ通信することで、文字として読むことができています。

このデータ通信は、たくさんのネットワークを経由してくるのですが、その間をのぞき見することができちゃんです…。
（や、やろうと思えば．．．）(ーー;)

あ～、あの人は今、このサイトのこのページを読んでいるんですね～とか、
あ～、あの人はアンケートにこう答えたんですね～とか。

僕たちは、目の前の画面しか見ていませんから、裏側の情報経路なんて気にしませんよね。でも実は、裏側ではそういう世界があるんです．．。

※大きい声では言えませんが、
　大手企業などではこのように社員のネット利用を監視しているところもあります。
　（悪い意味の監視ではなく、コンプライアンスによる監視ですね）

例えば、僕たちは通販サイトなどでクレジットカードの番号を登録したりします。
その通信を横からのぞき見されしまったら、カード番号がばれてしまい悪用されてしまいます。ですから、購入フォームや登録フォーム、クレジットカードの登録画面では、通信を暗号化して安心してデータのやり取りが出来るようにしている、というのが現状です。

この「暗号化して通信しているよ～」という印が、「https://」で始まるアドレスというわけですね♪d(^_^)

※通信を暗号化することを SSL（Secure Sockets Layer）化ともいいます。

もう少し厳密な説明をすると…

もう少し厳密な説明をすると、「https」（SSL化）にすることで、次の３つが実現されます。

（１）通信を暗号化することで、外部からののぞき見を防ぐ

（２）見ているホームページが本当にその会社のものなのかを証明する

仮に通信が暗号化されていたとしても、銀行サイトだと思ってログインしたら、同じデザインの詐欺サイトだったら大変なことになります…(>_<)
ですから厳密には、「通信の暗号化」と、「サイトは本当にその会社のものか」の証明は別物なんです。

（３）通信途中の情報の改ざんを防ぐ

本を1冊注文したのに、途中で誰かが情報を改ざんして100冊にしちゃったら大変なことになりますもの…(ーー;)

このような３つの役割があるんです。d(^_^)

ひとまず、通信の暗号化（SSL化）と　https がどういうものかご理解いただけましたか？

ではどうして、情報の暗号化と「SEO」が関係してくるのでしょう…？
どうして、httpsにするとSEOに有利、だなんていう話になっているのでしょう？

これには、Google が2014年に出した方針にあります。

Google は検索だけでなく世界中の様々なインターネットプラットフォームを提供しているのですが、その中で「公衆無線LAN」で「盗聴や情報ののぞき見」が多く発生していることを非常に危惧しています。

もちろん公衆無線LANを暗号化して情報がのぞき見されないようにすることは大切ですが、サイト自体を暗号化してしまえば、仮に公衆無線LANが暗号化されていなくても情報の中身を見られないということで、Googleはサイトの暗号化（SSL化）、 httpsによる通信を推奨するようになりました。

結果、「https」による通信のサイトは検索結果の表示で有利にするよ♪という方針が出されたため、「https」と「SEO」が関係することになったというわけです。　d(^_^)

HTTPS をランキング シグナルに使用します（2014年8月7日）
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

少し複雑な事情ですね．．．

このような状況で、httpsに変更するのが世界的なトレンドになっていますし、今後この流れは変わりません。
ですから、現在まだ、http のままになっているサイトも、いずれはhttpsに変更することが望まれます。

勘違いしてはいけないのは、http→httpsへと切り替えたからと言って、急に検索結果のランキング上位に躍り出るわけではない…ということ。d(^_^)
Googleにとっては安全な通信を広めることも大切ですが、それよりも「求めている人に対して有益な情報を提示する」ことの方が重要なわけですから、そこは Googleはしっかりとおさえています。

http→httpsへと切り替えようとした場合、実は、利用しているレンタルサーバやサービスによってやり方がまったく違います。

例えば、ロリポップ というレンタルサーバでは、無料で https への切り替えサービスを提供しています。

また、さくらサーバ というレンタルサーバでも、つい先日から同じように無料で https への切り替えサービスを提供しています。

サイト構築サービスの「Jimdo」「Wix」でも無料でhttpsに切り替えることができます。
Jimdo はすべて強制的にhttpsになりましたね。

このように、レンタルサーバやサイト構築サービスを提供している各社は、これまで見てきたような世界的な流れがあるために、https での通信サービスを提供できないと商売にならなくなっているというわけです。

たまたま上記で取り上げたサービスは無料で https の通信が可能ですが、どのぐらいの費用が必要なのかはレンタルサーバやサービスによってまちまち。変更手続きをしないといけないものや、数万円/年かけないと変更できない場合もあります。

ご自身のところはどうしたらいいのかは、そこは専門家への相談が必要になります。（もちろん、当社にご相談いただいても大丈夫です♪）

専門的な話を少し…

  今取り上げた無料で提供されている https での通信は、先ほどお話しした https の役割（１）～（３）のうち、すべてをカバーしているわけではありません。

（１）あくまでも通信が暗号化され、（３）改ざんが防がれるということです。

銀行のサイトのように、（２）そのサイトが本当にその銀行のサイトであることを証明するような暗号化通信にするためには、年10万円ぐらいの証明書を購入する必要があります。

ポイントは、いずれは変更することになるでしょうが、今日明日に変更しないといけない…というわけではないということ。極端な話、次回のリニューアルのタイミングでもOKです♪

SEOに有利とはいえ微々たるものですから、飲食店のサイトを何万円も掛けてhttpsに変更するのは今のところ本末転倒なように思います。
期末、儲かったので経費をどこかに回さないと！というようなタイミングで実施してもいいと思います。
（もちろん当社にお声掛けくださいね♪）

※昔ながらのプロバイダーの環境でホームページを公開されている場合は、そもそもSSL化できない可能性もあります。
　そういう時は、サーバの移転も含めて検討するのがいいのではないかと思います。
　（だって、今のレンタルサーバの方が、昔のプロバイダーのホームページサービスよりも安価で使いやすいですもの…(^_^;）

特に注意しないといけないのは、「SEOに不利になりますから、今すぐ変更しましょう！」なんていう営業の電話がかかってきて、必要もない高額な証明書を購入してしまうこと。（笑）

というわけで、急ぐわけではありませんが、必ず頭の片隅に置いていただいて、あるタイミングで変更していただくことをオススメします。

せっかくですから、近況の記事を２つ紹介

せっかくですから、近況がわかる記事を２つ紹介します。

GoogleがWebのHTTPS化の進捗状況を報告、日本の採用率は31%から55%にアップ
（techcrunch.com）2017年10月21日

【コメント】
この記事を読むと、もう国内のサイトの半分以上がhttps化されているように見えますが、よ～く読むとそうではなさそうです。Windows上のChromeによる計測ということですから、全通信おける割合ということですね。僕たちはYahooなどの特定のサイトに多くアクセスしますから、大手がhttps化されると必然的に全通信における割合も増えますもの。

ちなみに、記事に取り上げられている Googleのレポートは↓です。
https://www.blog.google/topics/safety-security/say-yes-https-chrome-secures-web-one-site-time/

Google Chrome62から強化される警告表示～サイト内検索も対象に～

【コメント】
現在のHTTPS化の流れを作っているのは Google ですが、Google が提供しているWebブラウザ(Chrome)でも同じ動きをしています。
今月から提供されている　Chrome62 から、アドレスバーに表示される「保護されていません」という警告表示の対象が拡大されています。

例えば、皆さんの会社サイトがhttpsになっていない場合、皆さんのお客様が「お問い合わせフォーム」に入力しようとしたら、アドレスバーに「保護されていません」という警告表示がされるようになったということですね。Chrome を使っているお客様だとしたら、ちょっとビックリしてしまうかもしれませんね。

この２本の記事で見ていただいてご理解いただけるように、現状では「緊急で対応しないといけない」というわけではありませんが、頭の片隅に入れておいてくださいね！　というわけです。

最後に、https に変更する際のポントを４つ、簡単に紹介しますね。

【１】古いアドレスをしっかりとケア

　　（１）http://aaaaa.co.jp/about.html
　　（２）https://aaaaa.co.jp/about.html

インターネットの世界では、画面の見た目が全く同じでも、上記の（１）（２）は別なアドレスになります。

ですから、これまで外部から（１）にリンクを張ってもらっていたとすると、http → https に変更することで「ページが見つかりません」ということになってしまいます。そうならないように、（１）にアクセスが来たら（２）に転送するというような、細かい配慮が必要になります。

さらに専門的な話になりますが、この転送の時「301」転送というものをしないといけません。d(^_^)　

そうしないとせっかくこまれで頑張ってSEO対策してきたものがリセットされてしまいますもの…。
（言いだしっぺはGoogleですから、そこは配慮があるのかもしれませんが、原理原則としては…）

【２】https に http の要素が混在してしまうことへの対応

Youtube をページに埋め込んだりしている方もいらっしゃるかと思います。
<iframe> などで src="http://www.youtube.com/embed/** と、「http://」 としている場合には、http --> https に切り替えるとその Youtubeの埋め込みが表示されなくなってしまいます。これは、https による通信とhttpの通信が混在しているためです。

この場合には、src="https://www.youtube.com/embed/** と「https://」と呼び出す方法を変更してあげる必要があります。

実はこの「混在」、Youtube だけでなく、画像であったり外部のスクリプトであったりウィジェットであったりと、意外とあるんです。
しっかりとやるには、これらもしっかりと変更してあげる必要があります。

【３】Facboookの「いいね」ボタンもケア？

ここは、人によって気にする人と気にしない人がいるでしょうが、（１）（２）はアドレスが違いますから、これまでそのページに「いいね」が100あったとしてhttp → https に変更することで、新しいアドレスではイイネが「0」になってしまいます。

見た目の画面は一緒でもアドレスが違うのですから、別な記事と認識されるわけですね。

それは困る．．．と言う人は、Facebookから対応方法が紹介されています。
具体的には下記の記事が参考になるかと思いますが、専門家でないとハードルは高いかも…(^_^;。

常時https/SSL化してもFacebook記事の「いいね!」数を引き継ぐ方法（正攻法編）
https://www.ark-web.jp/blog/archives/2016/11/https_facebook_like.html

当社に関しては、過去の「いいね」の数は捨てることにしました。
記事によっては 「いいね」が100あったものもありましたが、それを救い出す作業よりもその時間を他に使おうという判断です。

【４】アクセス解析ツール、Google Search Console の設定も忘れずに

意外と忘れてしまうのが、（１）Googleアナリティクスなどのアクセス解析ツールでの設定変更と、（２）Google Search Console の再登録です。特

（２）のSearch Consoleは、httpからhttpsに変更すると再登録が必要になりますのでご注意くださいね♪

ということで、httpからhttpsへの切り替え（SSL化）や、その裏の背景などご理解いただけましたでしょうか。

ネットの情報に右往左往することなく、地方＆経営者目線のご判断に活用していただけましたらと思います。

次回もお楽しみに！

Twitter