SSL(https)についてわかりやすく解説

更新日:2022年3月10日

SSLとは?

SSLとは、ブラウザとサーバー間の通信を暗号化するセキュリティ技術のことです。

SSLを利用することで、個人情報・クレジットカード情報・パスワードなどの盗聴を防ぐだけでなく、データ改ざんやなりすましなども防止することができます。
また、信用できるサイトであると証明する役割もあり、銀行サイトやショッピングサイトのような個人情報を取り扱うサイトでも、閲覧者が安心してサイトを利用することができます。

SSLを導入しているサイトでは、URLの先頭が「https」になり、ブラウザのアドレスバーに「鍵マーク」が表示されます。

Googleの検索エンジンでは、サイトがSSL(https)で配信しているかというのを、検索順位を決める要因のひとつとしています
また、SSLを導入していないサイトではアドレスバーに「保護されていない通信」といった警告が表示されるため、閲覧者が信用のできないサイトだと思って離れてしまう可能性もあります。

SSLはセキュリティ面だけでなく、サイト(運営者)の信用やSEO面においても重要になります。

SSLサーバー証明書について

SSLを利用するには、第三者機関の認証局から発行されたデジタル証明書が必要になります。
この証明書のことを「SSLサーバー証明書(またはSSL証明書)」と呼びます。
SSLサーバー証明書があることにより、暗号化した安全な通信に加えて、サイトのドメインや運営組織の実在性を証明することができます。

SSLサーバー証明書には、サイト運営者の情報・暗号化する時に必要となる公開鍵・認証局の署名などが含まれており、SSLサーバー証明書をサーバーにインストールすることでSSLが利用可能になります。

SSLサーバー証明書の種類

SSLサーバー証明書には3段階の認証レベルがあり、下から順番に「ドメイン認証」「企業認証」「EV認証」となっています。
ただし、認証レベルによって暗号化通信自体の性能が変わるわけではありません。

ドメイン認証
ドメインの所有権を認証するSSLサーバー証明書です。
個人・法人問わず取得できます。
低価格で取得できますが、運営組織の実在性を認証するものではないため、フィッシング対策としては十分でありません。
無料で取得できるドメイン認証のSSLサーバー証明書もあります。
企業認証
ドメインの所有権に加え、運営組織の法的実在性を認証するSSLサーバー証明書です。
法人の方のみ取得できます。
運営組織が法的に実在しているかを審査するため、ドメイン認証よりも信頼性が高くなります。
EV認証
ドメインの所有権と運営組織の法的実在性に加え、物理的な実在性も認証するSSLサーバー証明書です。
法人の方のみ取得できます。
一番信頼性の高いSSLサーバー証明書で、ブラウザのアドレスバーにある鍵マークをクリックすると、運営組織の名称が表示されます。

SSLサーバー証明書に付随するサービス

SSLサーバー証明書のブランド(認証局)によっては、サイトシールやセキュリティ診断といったサービスを提供している場合があります。

サイトシール
認証局から認証を受けたサイトであると証明する画像です。
サイトシールをサイト上に掲載することで、セキュリティ対策をしている信頼性の高いサイトであるとアピールすることができます。
また、サイトシールをクリックすることで、証明書の詳細を確認することができます。
セキュリティ診断
マルウェアやフィッシングURLなどに対して、自動で診断してくれるサービスです。
SecureCoreのSSLサーバー証明書では、サイトシールに「セキュリティ診断済み」と表示されます。

SSLサーバー証明書の更新

SSLサーバー証明書は、基本的に1年単位で更新する必要があります。
更新手続きの方法はレンタルサーバーによって異なりますが、更新を忘れると自動解約されてしまう場合もあるので注意が必要です

有効期限切れなどの原因でSSLサーバー証明書を検証できなかった場合、ブラウザには「この接続ではプライバシーが保護されません」といったエラーが画面全体に出ます。

SSL通信の仕組み

SSLを利用する上で仕組みを理解する必要はありませんが、SSL通信の過程を簡単に説明すると以下のようになります。

  1. ブラウザが、サーバーにSSL通信を要求する
  2. サーバーが、ブラウザにSSLサーバー証明書を送付する
  3. ブラウザが、SSLサーバー証明書を検証する
  4. ブラウザが、SSLサーバー証明書に含まれる公開鍵を使って共通鍵を暗号化し、サーバーに送付する
  5. サーバーが、保持している秘密鍵を使って共通鍵を復号する
  6. ブラウザとサーバーが、共通鍵を使ってSSL通信をする

独自SSLと共有SSLについて

SSLには、「独自SSL」と「共有SSL」と呼ばれるものがあります。
暗号化通信を行うという点では同じものですが、安全性や信頼性、費用の面などに違いがあります。
ただ、共有SSLを使う機会はほとんどないと思うので、独自SSLだけ知っておけば問題ありません。

独自SSLと共有SSLの違いは以下のとおりです。

独自SSL
自分のサイト(ドメイン)専用のSSLサーバー証明書を取得して利用するSSLです。
ドメインや運営組織に対しての認証がされているため、安全性と信頼性が共に高くなります。
無料で利用できる独自SSLもありますが、一番信頼性の高いEV認証のSSLサーバー証明書では年額数万円以上の費用が掛かります。
共有SSL

レンタルサーバーが所有しているSSLサーバー証明書を、契約者間で共有して利用するSSLです。
基本的に無料で利用できますが、ドメインがレンタルサーバー指定のドメインに切り替わる(独自ドメインが使えない)ため、サイトのURLが変わってしまいます。
また、自分のサイトに対してのSSLサーバー証明書ではないので、安全性や信頼性は独自SSLより低くなります。

現在では、無料で独自SSLを利用できるレンタルサーバーが普及しており、共有SSLはあまり利用されません。
無料の独自SSLが利用できるレンタルサーバーでは、共有SSLの提供自体が終了されている場合もあります。

SSLのSEOへの影響

サイトがSSLを導入しているかということを、検索順位のランキング要因として扱うとGoogleは発表しています。

具体的には、「ページエクスペリエンス」と呼ばれるシグナルセットの中に組み込まれています。
ページエクスペリエンスは、サイトが快適・安全に利用できるかといった点を評価するもので、コンテンツの価値以外の部分に関するランキング要因です

ページエクスペリエンスの内容は以下のとおりです。

コアウェブバイタル(ウェブに関する主な指標)

「LCP」「FID」「CLS」の指標により、パフォーマンスや安定性の点で優れたユーザーエクスペリエンスを提供しているかを評価します。

参考:コアウェブバイタル(Core Web Vitals)をわかりやすく解説

モバイルフレンドリー
モバイル(スマホやタブレット)に対応したページになっているかを見ます。
セーフブラウジング
悪意のあるコンテンツや不正なコンテンツが含まれていないかを見ます。
HTTPS
ページがSSL(https)で配信しているかを見ます。
煩わしいインタースティシャルがない
インタースティシャル(画面を覆う広告や登録誘導など)がないかを見ます。
※ひどい場合は検索順位が下がります。

SSLがランキング要因であるといっても、検索順位が大きく変わるような影響力はありません。
あくまでもランキング要因で一番重要になるのはコンテンツの質であり、SSLを導入していれば検索上位になるわけではなく、コンテンツの質が同じサイトがあればSSLなどのページエクスペリエンスが優れているサイトの方が上位になるというものです。

ただし、検索順位に大きく影響しないからといって、SSLを導入しなくてもいいというわけではありません。
閲覧者側はもちろん、サイト運営者にとってもセキュリティに関わる重要な部分であり、サイトそのものや運営者(運営組織)の信用にも関わってきます。
また、ブラウザのアドレスバーに「保護されていない通信」と出ることで、閲覧者がサイトから離れてしまう可能性さえあります。

SSLやその他のページエクスペリエンスは、検索エンジンの評価に関係なく必ず取り組んでいくべきだということです。

ページエクスペリエンスは、今よりも重要なランキング要因になっていく可能性があると言われています。

SSLの導入について

サイトにSSLを導入することを「SSL化」と呼び、サイトの一部だけでなくサイト全体をSSL化することを「常時SSL化」と呼びます。

以前までは、個人情報・クレジットカード情報・パスワードなどを入力するページのみをSSL化するというのが一般的でした。
しかし、インターネットの普及に伴ってセキュリティ面の問題が増加したこともあり、サイト全体をSSL化する常時SSL化が現在のサイト運営において必須となっています

閲覧者が安全にサイトを利用できるようになるだけでなく、サイト運営者にもSEO面などのメリットがあるため、どのようなサイトであっても常時SSL化することをおすすめします。

常時SSL化の手順

常時SSL化の手順は以下のようになります。
具体的な方法については、常時SSL化とは?設定方法をわかりやすく解説をご覧ください。

  1. SSLサーバー証明書を取得する
  2. 内部リンクとファイルのパスをHTTPSにする
  3. 外部サイトから読み込んでいるコンテンツを確認する
  4. HTTPからHTTPSにリダイレクトする
  5. WordPressのサイトURLをHTTPSにする
  6. SNSや外部サイトからのリンクURLをHTTPSにする
  7. Search ConsoleにHTTPSにしたサイトを登録する

HSTSについて

常時SSL化しているサイトでは、「http」で始まるURLへのアクセスを「https」で始まるURLにリダイレクト(転送)するように設定しています。
しかし、リダイレクトするまでの一瞬は暗号化されていない「http」にアクセスしているため、その隙を狙った中間者攻撃の危険が残っているのです。

このような中間者攻撃を防ぐために考えられたのが「HSTS」です。
HSTSは、すべてのアクセスを強制的に「https」で接続するようブラウザに指示するもので、「http」の通信を狙った中間者攻撃からサイトと閲覧者を守ることができます。

ただし、HSTSは強力な指示であり、サイトによっては不具合が出る可能性もあるので、設定する場合は仕組みを正しく理解しておく必要があります。

HSTSの詳細と設定方法は、HSTSの解説と設定方法【.htaccessの書き方】をご覧ください。

レンタルサーバーとSSLサーバー証明書の選び方

SSLサーバー証明書は基本的にレンタルサーバーから申し込むことになり、他社からSSLサーバー証明書の持ち込みができないという場合が多いです。
また、レンタルサーバーによって取り扱っているSSLサーバー証明書が異なるため、有料のSSLを検討している場合は、SSLのことも含めてレンタルサーバーを選ぶ必要があります。

個人サイトの場合であれば、無料独自SSL(無料のSSLサーバー証明書)でまったく問題ありません。
ただし、レンタルサーバーが無料独自SSLに対応しているかを必ず確認する必要があります

法人サイトの場合、信頼性向上やフィッシング詐欺の被害を減らすために、企業認証SSL以上のSSLサーバー証明書を選ぶという選択肢もあります。

レンタルサーバーの料金や機能の詳細、キャンペーン情報などについては、トップページのレンタルサーバー比較|料金と機能の一覧をご覧ください。
無料独自SSLが利用できるかということも、レンタルサーバーのプランごとに確認できます。