SSLとは？

SSLとは、ブラウザとサーバー間の通信を暗号化するセキュリティ技術のことです。

SSLを利用することで、個人情報・クレジットカード情報・パスワードなどの盗聴を防ぐだけでなく、データ改ざんやなりすましなども防止することができます。
また、信用できるサイトであると証明する役割もあり、銀行サイトやショッピングサイトのような個人情報を取り扱うサイトでも、閲覧者が安心してサイトを利用することができます。

SSLを導入しているサイトでは、URLの先頭が「https」になり、ブラウザのアドレスバーに「鍵マーク」が表示されます。

Googleの検索エンジンでは、サイトがSSL（https）で配信しているかというのを、検索順位を決める要因のひとつとしています。
また、SSLを導入していないサイトではアドレスバーに「保護されていない通信」といった警告が表示されるため、閲覧者が信用のできないサイトだと思って離れてしまう可能性もあります。

SSLはセキュリティ面だけでなく、サイト（運営者）の信用やSEO面においても重要になります。

SSLサーバー証明書について

SSLを利用するには、第三者機関の認証局から発行されたデジタル証明書が必要になります。
この証明書のことを「SSLサーバー証明書（またはSSL証明書）」と呼びます。
SSLサーバー証明書があることにより、暗号化した安全な通信に加えて、サイトのドメインや運営組織の実在性を証明することができます。

SSLサーバー証明書には、サイト運営者の情報・暗号化する時に必要となる公開鍵・認証局の署名などが含まれており、SSLサーバー証明書をサーバーにインストールすることでSSLが利用可能になります。

SSLサーバー証明書の種類

SSLサーバー証明書には3段階の認証レベルがあり、下から順番に「ドメイン認証」「企業認証」「EV認証」となっています。
ただし、認証レベルによって暗号化通信自体の性能が変わるわけではありません。

SSLサーバー証明書に付随するサービス

SSLサーバー証明書のブランド（認証局）によっては、サイトシールやセキュリティ診断といったサービスを提供している場合があります。

SSLサーバー証明書の更新

SSLサーバー証明書は、基本的に1年単位で更新する必要があります。
更新手続きの方法はレンタルサーバーによって異なりますが、更新を忘れると自動解約されてしまう場合もあるので注意が必要です。

有効期限切れなどの原因でSSLサーバー証明書を検証できなかった場合、ブラウザには「この接続ではプライバシーが保護されません」といったエラーが画面全体に出ます。

SSL通信の仕組み

SSLを利用する上で仕組みを理解する必要はありませんが、SSL通信の過程を簡単に説明すると以下のようになります。

独自SSLと共有SSLについて

SSLには、「独自SSL」と「共有SSL」と呼ばれるものがあります。
暗号化通信を行うという点では同じものですが、安全性や信頼性、費用の面などに違いがあります。
ただ、共有SSLを使う機会はほとんどないと思うので、独自SSLだけ知っておけば問題ありません。

独自SSLと共有SSLの違いは以下のとおりです。

SSLのSEOへの影響

サイトがSSLを導入しているかということを、検索順位のランキング要因として扱うとGoogleは発表しています。

具体的には、「ページエクスペリエンス」と呼ばれるシグナルセットの中に組み込まれています。
ページエクスペリエンスは、サイトが快適・安全に利用できるかといった点を評価するもので、コンテンツの価値以外の部分に関するランキング要因です。

ページエクスペリエンスの内容は以下のとおりです。

SSLがランキング要因であるといっても、検索順位が大きく変わるような影響力はありません。
あくまでもランキング要因で一番重要になるのはコンテンツの質であり、SSLを導入していれば検索上位になるわけではなく、コンテンツの質が同じサイトがあればSSLなどのページエクスペリエンスが優れているサイトの方が上位になるというものです。

ただし、検索順位に大きく影響しないからといって、SSLを導入しなくてもいいというわけではありません。
閲覧者側はもちろん、サイト運営者にとってもセキュリティに関わる重要な部分であり、サイトそのものや運営者（運営組織）の信用にも関わってきます。
また、ブラウザのアドレスバーに「保護されていない通信」と出ることで、閲覧者がサイトから離れてしまう可能性さえあります。

SSLやその他のページエクスペリエンスは、検索エンジンの評価に関係なく必ず取り組んでいくべきだということです。

SSLの導入について

サイトにSSLを導入することを「SSL化」と呼び、サイトの一部だけでなくサイト全体をSSL化することを「常時SSL化」と呼びます。

以前までは、個人情報・クレジットカード情報・パスワードなどを入力するページのみをSSL化するというのが一般的でした。
しかし、インターネットの普及に伴ってセキュリティ面の問題が増加したこともあり、サイト全体をSSL化する常時SSL化が現在のサイト運営において必須となっています。

閲覧者が安全にサイトを利用できるようになるだけでなく、サイト運営者にもSEO面などのメリットがあるため、どのようなサイトであっても常時SSL化することをおすすめします。

常時SSL化の手順

常時SSL化の手順は以下のようになります。
具体的な方法については、常時SSL化とは？設定方法をわかりやすく解説をご覧ください。

HSTSについて

常時SSL化しているサイトでは、「http」で始まるURLへのアクセスを「https」で始まるURLにリダイレクト（転送）するように設定しています。
しかし、リダイレクトするまでの一瞬は暗号化されていない「http」にアクセスしているため、その隙を狙った中間者攻撃の危険が残っているのです。

このような中間者攻撃を防ぐために考えられたのが「HSTS」です。
HSTSは、すべてのアクセスを強制的に「https」で接続するようブラウザに指示するもので、「http」の通信を狙った中間者攻撃からサイトと閲覧者を守ることができます。

ただし、HSTSは強力な指示であり、サイトによっては不具合が出る可能性もあるので、設定する場合は仕組みを正しく理解しておく必要があります。

HSTSの詳細と設定方法は、HSTSの解説と設定方法【.htaccessの書き方】をご覧ください。

レンタルサーバーとSSLサーバー証明書の選び方

SSLサーバー証明書は基本的にレンタルサーバーから申し込むことになり、他社からSSLサーバー証明書の持ち込みができないという場合が多いです。
また、レンタルサーバーによって取り扱っているSSLサーバー証明書が異なるため、有料のSSLを検討している場合は、SSLのことも含めてレンタルサーバーを選ぶ必要があります。

個人サイトの場合であれば、無料独自SSL（無料のSSLサーバー証明書）でまったく問題ありません。
ただし、レンタルサーバーが無料独自SSLに対応しているかを必ず確認する必要があります。

法人サイトの場合、信頼性向上やフィッシング詐欺の被害を減らすために、企業認証SSL以上のSSLサーバー証明書を選ぶという選択肢もあります。

• 
• 
• 
• 
•