HTTPSで安全な通信を|SEO女子コラム

お時間が空きまして、お久しぶりです。今週からきょんちゃんが都合によりSEOを離れることになりまして…今週からは寂しく2人での更新となります…。
ええ、それでも一人の時よりはずっと寂しくない…。
はい、気を取り直して、今回はGoogle界隈?で騒がれているアレについて書いてみます!

第七回コラムテーマ「HTTPSについて」

来ました!HTTPS!今Googleが力を入れているモバイル対策ServiceWorkerでも出てきたHTTPSです!(前にブログで書いたのを覚えてますか?笑)
それでは、コラムスタートです☆

HTTPSって何?

担当者:おかもっさん

WEBサイトで「https://」から始まるサイトは見たことありますか?
といっても見た事ないと言う人はほぼ居ないと思います。
たとえばGoogleさん等の大手検索エンジン・通販サイトなどで導入されていますね。

私は正直SEOを始める前まで「httpからhttpsに変わったところで何が違うの?」と関心がないという状態でした。
実際私はただウェブサイトを閲覧してるだけならそんなにURLも見ないです。
このSEOという仕事を初めてからは気にするようになりましたがそれでもカギマーク付いてるな~セキュリティ的なことかな~とふわっと思ってました。

そんな中、Googleさんからこんな発表こんな発表があったそうです。
「HTTPS をランキング シグナルに使用します」
「HTTPSが優先的にインデックスに登録されるようになる」
この時、あまり気にしてなかったHTTPSがSEO対策をする私達にとってとても重要だという事を知りました・・・

HTTP・HTTPSの意味

まず、HTTPとは「HyperText Transfer Protocol」の略です。
「ブラウザとサーバーの間でHTML・画像・音声などのコンテンツを送受信する際に用いられる通信プロトコル」
通常は異なる通信同士だとWEBサイトを表示する事が出来ないが、細かい規定が組まれたシステムが仲介する事によってお互いのWEBサイトが閲覧出来る
…という仕組みとなっています。(私も調べていてわからなくなりましたがそういうことだと思います。)

そして今回のテーマであるHTTPSは「HTTP over SSL/TLS」の略です。
このSSL・TLSはデータを暗号化して送受信する技術が組まれており、その暗号化技術を適用したHTTPがHTTPSとなります。(そのためHTTPSはSSL化したURLと表記されることもあります。)

このように通信を暗号化することで、WEBブラウザ間のセキュリティ対策として活用されます。
HTTPSのURLは主に通販サイト等個人情報をやり取りするページで使うのが常識となっていますね。

HTTPSのメリット

さてこのHTTPS、どのようなメリットが有るのでしょうか。
ザックリ言えばこんな感じです。

  • なりすましの防止
  • 盗聴、中間者攻撃を防止
  • ブラウザの表示方法変更の為の対策

まず、なりすましの防止が可能です。
金銭を扱うサイトがなりすましによって被害を受けては大変です。
HTTPSにしておくことで、なりすましサイト(フィッシングサイト)を作成する際の難易度が上がります。
そしてユーザーがなりすましサイトを不正なサイトだと気づく可能性も上がり被害を防ぐ事が出来ます。

次に、盗聴・中間者攻撃の防止についてです。
まず通常のHTTPだと暗号化していない為、重要な個人情報をサーバに送信した際、通信の経路上で盗聴・攻撃される可能性があります。
ですがHTTPSにすることで個人情報は暗号化され読み取れないようにすることが出来、攻撃・盗聴を防止する事が可能なのです。

ブラウザの表示方法変更の対策ですが、今後ブラウザ上でHTTPSでないサイトは「安全でないサイト」と表示する可能性が出てきています。
ユーザーの事を配慮し、安全なサイトである事を明確にする事でサイトの順位にも影響されるかもしれません。

このように様々なメリットがあるHTTPSですが、多くのWEBサイトでは未だにHTTPで始まるURLであることが多い気がします。
ユーザーへの安全性の表明、そして今回発表されているSEO対策に効果的という点を考えると、HTTPSにする事も検討した方がいいかもしれませんね。

HTTPSに移行する際には

担当者:つじさん

HTTPSの素晴らしさに気付くと、早速私のサイトもHTTPSにしたい!と思うかもしれませんね。 では私は実際にHTTPSにする時に気をつけなければいけないことをご紹介します。

そもそもSEO的な効果は?

もちろんあります!
というのも、先ほどおかもっさんの記事にも有りましたが、GoogleはHTTPSをランキングのシグナルとして使用しているからです。HTTPSは、ユーザーだけでなくサイトをハッキングから守ってくれる効果もあります。より安全なサイト運営をGoogleは推奨しているのかもしれません。
とはいえ、HTTPSにもいくつかの条件があります。全てをクリアしたサイトだけをHTTPS化しているとGoogleはみなし、順位に多少なりとも影響を与えているようです。

しっかりとクリアしているかどうかはURLの頭を見ることで確認することが出来ます。
よく見ると、HTTPSのサイトには緑色の鍵が付いているんですね。こちらをクリックすると、安全な通信が出来ているか確認することが出来ます。ちなみに、Google先生のサイトは…。

GoogleのSSL化

おお、ちゃんと安全。さすがです!
もし問題があれば、ここに症状や警告か表記されます。

HTTPSへの移行で注意すること。

では、実際にHTTPにする時に気を付けておきたいことをいくつかご紹介します。

証明書

まず一点目は安全な証明書を利用するということです。
HTTPSにするにはサーバー証明書というものが必要になってきます。サーバー証明書とは、SSL化の機能やサイトの所有者情報を記したネット上に存在する電子証明書のことです。この証明書がないとHTTPSにすることは出来ません。
この証明書は「AC」と呼ばれる認証局が発行をしています。もちろん、所定の料金がかかる場合が殆どです。
認証局も一つではなく、いろんなところが有るため、正しい審査を行っていて信頼の置ける認証局かどうかを見極める必要があります。万が一、正しい審査が受けられていない証明書を利用していると、HTTPSになっている、と認められない可能性も出てきます。…恐ろしや…。

この証明書を手に入れたらサーバーがSSLを使用できるかの確認も忘れずに行いましょう。

常時SSL

二つ目が全てのページをSSL化しているかという点です。このように、全てのページをSSL化することを、「常時SSL」と呼びます。
もちろんどこか1ページだけをHTTPSにすることも出来ますが、この方法は実はGoogleは推奨しておらず、「常時SSL」を推奨しているんです。というのも、暗号化されていないページからの攻撃を防ぐ為に、全てを保護しておこう!という魂胆です。
家も同じです。2階建ての家なのに2階だけセコムしてても、1階の玄関から泥棒が入ってしまったら意味がありませんね。

常時SSLは単なるコンテンツページだけでなくJavaScriptやCSSなども含まれます。リンクなどを貼っている際は、絶対パスで記述している場合は特に要注意です。
このような状況を防ぐためにも、HTTPSのサイトでは相対パスの利用が安全かもしれません。

リダイレクト等の処理

意外と忘れがちなのがこちら、リダイレクト処理です。
必ず必要というわけではありませんが、Googleからの評価を分散させたくないのであれば必ず行うようにしましょう。
Googleは例えサイトが同じでもHTTPとHTTPSのURLを別物だと考えます。よって、せっかくHTTPSにしたのにリダイレクトやHTTPからの移管等を何もしていなかったら永遠にインデックスされないまま…なんてことも…。
それを防ぐためにも、各ページそれぞれが対応するHTTPSのページヘ301転送されるように設定をしてあげましょう。
その際に、JavaScriptやCSS、リンクなどが取り残されないよう、HTMLはしっかりと見なおしておきます。また、canonicalタグもHTTPSになるように設置をしておくと安心です。

おかもっさんの記事にもあったように、現在GoogleはHTTPとHTTPSの両方がある場合は、優先的にHTTPSのサイトをインデックスしてくれます。しかし、これもかなり条件があり、HTTPのサイトとHTTPSのサイトが一切繋がっていない状態でないと効きません。
つまり、です。1個でもHTTPへのリンクがあったり、canonicalを設置ミスってたりすると………。
わかりますよね?
それを防ぐためにも、HTTPSへと移行した際にはサイトをしっかりと見直す必要があります。

いかがでしたか?安全な通信になるとはいえ、URLに「s」が付くだけなのに、こんなにもやらなければいけないことはたくさんあります。ここに書いただけでなく、実際に設置をするとなるともっと大変なのです。それだけ重要な通信ということですね…。

このサイトがSSL化することは…あるのでしょうか………さ、次のコラム考えよーっと!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

This site uses Akismet to reduce spam. Learn how your comment data is processed.