SSL化って絶対に必要?HTTPS非対応だと検索順位に影響あり?
ウェブマーティングに携わっていると、SSLにするべきか、思い悩んだりすることはないでしょうか?SSL化することが必須だとは聞くけれど、やらなかったからといってペナルティを受けることはないだろうと思っていませんか?
しかし、HTTPS非対応のウェブサイトを運営していることで、検索順位を下げられてしまうと、非常に困ったことになります。もしかして、現在、SSL化について下記のようなことをお考えではないですか?
- SSL化というものが何か、まったく知らない…。
- HTTPとアドレス部分に書かれたウェブサイト運営しているけれど、何か問題でも発生するの?
- SSL化していないことで検索順位が下がってしまわないか心配である…。
もし、上記ついて自分と何かひとつでも思い当たることがある場合は、本記事を最後まで興味を持って読んでいただけると思います。今回は、SSL化とは一体何なのか、HTTPS非対応のウェブサイトを運営しているとどんな問題が発生してしまうのか、SSLの基礎知識から検索順位との関係性、SSL最新情報についてご紹介します。
SSL化とは?検索エンジン上での扱いについて
SSL化とは、ウェブサイト全体をHTTPからHTTPS(Hypertext Transfer Protocol Secure)サイトへ移行することで、機密性や防犯性の高いサイト運営を指しており、検索エンジン上で移行することが推奨される対策として注目が集まっています。ちなみに、ウェブサイト上のすべてのページがSSL化されていることを、常時SSL化といいます。
通常は、セキュリティ性の向上を求めての導入となるため、決済ページに限定してSSL化しているウェブサイトも多く存在していたのですが、近年は、ウェブサイト上のすべてのページに対して、SSL化することが求められるようになっています。
たとえば、検索エンジンで強い影響力を持つウィキペディアは、2015年にSSL化を導入しており、TwitterやFacebookなどのソーシャルメディアやGoogleやYahoo!などの大手の検索エンジンが次々にHTTPSサイトへと移行しています。
SSL化が導入されるようになった背景
HTTPSとは、検索ユーザーのウェブサイトとパソコンの間で送受信されるデータの機密性と完全性を確保するためのインターネット通信プロトコルのことで、ウェブサイトの利用者をハッキングなどの脅威から守るためには、SSLの導入が必須となります。
たとえば、ITについてまったく知らない方が、個人的な情報をSSL化されていない状態で情報交換してしまったとしたら、どんなことが発生するでしょうか?近くに、ハッキングを目的としている人がいた場合、すぐに情報を抜き取られてしまいます。そんな危ないサイトを検索エンジン上で上位表示させとくわけにはいかないということで、これまでGoogleは幾度となく警告を発し、早急な対策を呼びかけています。
通信を暗号化することで、検索ユーザーを守る
常時SSL化にするだけで、なぜ、検索ユーザーを守ることにつながるのでしょうか?HTTPサイトをHTTPSサイトに移行すると、インターネット上で通信されるデータが暗号化されます。
もし、このデータが暗号化されることなく、やりとりされてしまうと、検索ユーザーのプライベートな情報が意図しない場所に流出してしまいます。データ通信そのものが暗号化されていないということは、IDやパスワードをもたないウェブサイトと同じで、個人的な情報が誰でも簡単にリアルタイムに閲覧できてしまうことになります。
常時SSL化にすれば、ウェブサイト上のどのコンテンツページに滞在していても、誰かに情報を抜きとられることがなくなり、悪意を持つハッカーに個人的な追跡を受けないため、検索ユーザーがウェブサイトの利用時に知らない間に情報が盗まれることを阻止できるということです。
常時SSL化にするとことで、SEOにどのような影響があるの?
まず、前提としてお分かりのように、常時SSL化されていないウェブサイトというのは、非常に危険です。データ通信が暗号化されていない状態なので、Googleとしては、検索上位にもっていくことは難しいと考えています。
やはり、常時SSLを導入しなければ、検索ユーザーに対して、高いユーザーエクスペリエンス(利用体験)を提供することができないからです。実際に、常時SSL化の流れは、最近のものではなく、2014年ごろから言及されており、現在では、HTTPサイトに対して警告を表示するに至っています。
ちなみに、Googleは、Chromeに対して対策を始めており、クレジットカードフィールドを所有するHTTPサイトを調査・排除対象として、HTTPSに移行されていない場合は、「Not secure」という警告表示が出るようになっています。Googleの独自の調査によれば、ウェブサイトのトップ100位にランクインするサイトのうち81サイトがHTTPSに対応済みであり、上位表示していることが分かっています。
全体の約8割がHTTPSサイトになっていることからも、常時SSLがいかに優遇されており、ランキングシグナルとして、検索結果に影響を与えているかお分かりいただけるのではないでしょうか。もはや、SSLを導入することは、ウェブサイトにIDやパスワードをかけることと同じレベルで基本設定として完了させるべきこととなっています。
常時SSL化にすると、どんなメリットがあるの?
常時SSL化を導入するにあたって、どんなメリットが存在するのか、重要なポイントをいくつかピックアップしました。
情報セキュリティレベルの強化になる
現在、ウェブサイトの多くは、個人情報をやり取りするツールとして、さまざまな企業で活用されています。たとえば、名前や住所、メールアドレス、クレジットカード番号など、いろいろな情報が法人や個人の間で、データ通信でやりとりされています。
たとえば、会員ページにログインする際は、IDやパスワードを入力して送信することになります。常時、SSL化を導入することで、このような個人情報の流出を防げるようになるため、情報セキュリティレベルの強化が期待できます。
ウェブサイトの信頼性が向上する
常時SSL化の状態にするためには、第三者機関のSSL認証局から発行されるSSLサーバ証明書が必要となります。ウェブサイトの管理人が使用する証明書の種類にもよるのですが、しっかりと厳重な体制がとられているところだと、ウェブサイトの運営企業の実態を厳格に調査してからSSLサーバ証明書を発行します。
このとき、無事審査に通過できたウェブサイトは、認証局のサイトシールを掲載することが認められるようになります。これによって、パソコン上からウェブサイトを検索すると、SSL化された安全なサイトである証明がブラウザ上に表示されるため、検索ユーザーが自社のウェブサイトにアクセスしても何ら問題のないウェブページであることを証明することができます。
ITに知見のない方だと、HTTPSになっていないなどの判別ができないため、警告エラー表示が出た時点で、怪しいウェブサイトだと思われてしまいます。そうなると、情報発信する内容や提供している商品やサービスの質、ブランド自体を疑われることになりかねませんので、注意が必要です。
Googleアナリティクスの精度が上がる
常時SSL化とGoogleアナリティクスに、どのような関連性があるのか、疑問に思われる方もいるかもしれません。実は、HTTPのままウェブサイトを運用すると適切に“リファラー”の受け渡しができません。
ちなみに、リファラー(Referrer)とは、検索ユーザーのアクセスログに記録されている情報を指すIT用語で、一般的に“参照元”を表現する際に、利用されます。リファラーを見れば、検索ユーザーがどんなページからやってきたのかが分かるため、ウェブ解析を行う際は、ページの解析改善作業で必ず調査すべき重要な指標となっています。
HTTPのまま何も対策をしなければ、どんなページから検索ユーザーが来たのか参照元を確認することできません。リファラーの元となるウェブサイトに「meta name=”referrer”」を設定することで、HTTPSサイトからHTTPサイトへとリファラーを受け渡すことができるものの、受け取る側が上手く制御できません。これでは、受け渡せても意味がありません。
このとき、常時SSL化にすることで、リファラーの送信元がHTTPやHTTPSでも制限なく情報が受け取れるようになります。その結果、今までよりも、Googleアナリティクスの解析精度が上がります。
Googleの検索結果で評価されやすくなる
すでに、Googleは、公式発表している通り、検索エンジンのランキングシグナルを決定する要素として、SSL化しているかということを判断基準に加えています。つまり、常時SSL化にしていなければ、どれだけ良質なオリジナルコンテンツを作成したとしても不利な状況になります。
本来なら、上位表示することができていたにもかかわらず、SSL化していないといった理由から検索結果で上位表示できないというには、あまりにも大きな集客機会の損失といえます。現状のSSL化の導入率から考えれば、SSLにしているだけで、検索エンジン上のHTTP運営のライバルサイトよりも高く評価されるでしょう。
しかしながら、すでにSSLの導入率だけで半数をこえているため、ウェブサイトを運営していているならSSLを導入していて当然という状況です。逆に導入していないと減点されると考える方が自然なのかもしれません。どちらにしても、検索エンジンからの扱いは良くなるので、ぜひ導入してください。
常時SSL化にすると、どんなデメリットがあるの?
一方で、常時SSL化にするにあたって、どんなデメリットが存在するのか、重要なポイントをいくつかピックアップしました。
広告収入が減少する可能性がある
ウェブサイトを常時SSL化にすることで、広告収入が減少する可能性があります。なぜなら、SSLページに掲載されるコンテンツは、すべてSSLに準拠していなければいけないからです。
たとえば、トレンド系のウェブサイトを運営し、Googleアドセンスを利用して、莫大な事業収入を得ている企業もあるでしょう。Googleアドセンスは、SSL化されたページに広告を掲載するにあたって、SSLに準拠していない広告は排除するため、広告枠のオークション競争率が低下してしまい、広告収益が減少する可能性が高まります。
しかし、広告収益が下がってしまったとしても、検索結果で上位表示できる可能性が高まるため、その分の広告収入は補えると考えてSSLを導入した方が良いでしょう。
SSLサーバ証明書の発行には、お金がかかる
常時SSL化を実現するには、SSLサーバ証明書を作成しなければいけません。SSLサーバ証明書は、無料のものから値段の高いものまで、種類も値段もさまざま存在します。しかし、無料のSSLサーバ証明書だと、サービスの内容によっては、設置しているといえないものもあります。そんなものを設置したところで、Googleもすぐに対策をとるでしょう。
そうなると、それなりにコストの高いSSLサーバ証明書の設置が必要となります。もし、社内でさまざまな事業展開をしており、10個のウェブサイトを運営しているのなら、1つのSSLサーバ証明書を使い回すことができないため、10個分の証明書を購入しなければいけません。
しかし、SSLサーバ証明書の発行もとによっては、マルチドメインオプションやワイルドカードオプションが提供されていることもあります。これらのサービスを利用すれば、別ドメインでそれぞれを管理していたり、マルチドメインによる管理をしていても、複数のウェブサイトを一元管理できるようになるため、コストを抑えた管理ができるようになります。
HTTPサイトとHTTPSサイトは、個別サイトとなるため引越し作業が必要
たとえば、既存のHTTPサイトをHTTPSサイトにしたからといって安心はできません。なぜなら、HTTPサイトをHTTPSサイトは、別サイトと検索結果で扱われてしまうからです。このような問題を解決するには、“ウェブサイトの引っ越し作業”が必要となります。
実際に、常時SSLを導入する場合は、今まで使用していたHTTPサイトをHTTPSサイトへとリダイレクトしなければいけません。また、ウェブサイトの全体構図を見渡したとき、重複ページが多いと感じる場合は、URLの正規化による対応が必要となります。
ウェブマスターツールへ再び登録しなければいけない
ウェブマーケティング担当者なら一度は、ウェブマスターツールを利用した経験があるかもしれません。Googleが提供しているこちらのツールを利用すれば、ウェブサイト全体のパフォーマンスを手軽に管理できるようになります。
今まで、通常通りウェブマスターツールが利用できていても、HTTPSサイトに移行すると、HTTPサイトとは、別サイトの扱いとなるため、再登録が必要となります。いざというとき、使えないといわないためにも、SSL化した段階でウェブマスターツールへ再登録するようにしてください。
何も設定しなければ、ソーシャルボタンのカウント数がリセットされる
常時SSL化すると、既存のHTTPサイトとアドレスが異なるため、ソーシャルボタンのカウント数がリセットされてしまいます。ソーシャルメディアから一定の流入を獲得していた企業にとって、カウント数がリセットされるというのは、大きなデメリットといえるのではないでしょうか。
従来ならソーシャルボタンのカウント数が高かったため、記事コンテンツを読んでくれたユーザーも、カウント数がゼロになった途端、読まなくなる可能性があります。しかし、ソーシャルボタンのカウント数は、URLの設定を変更することで引き継ぐことができます。
常時SSL化にした時点で、カウント数を自動的に引き継ぐことができれば良いのですが、今のところそのようなアップデートはなさそうなので、自分で実装するか、ウェブサイト制作会社に問い合わせて変更を代行してもらいましょう。しかし、インターネットで調べれば、さまざまな方法が掲載されていますので、簡単にできそうなものを選んで試してみてもよいでしょう。
一時的に検索順位が下がる可能性がある
HTTPサイトからHTTPSサイトへ移行する場合、検索エンジン上の扱いは、“サイトの移転”となります。そのため、常時SSL化が上手くいったとしても、検索エンジンでインデックスされるまでに多少の時間がかかるため、その期間の間、どうしても検索順位が下がってしまうことがあります。
その際、“SSLの導入に失敗してしまった。”や“SSLなんて導入するんじゃなかった。”と考え、ウェブサイトの設定を変更するのではなく、そのまま待機してください。一定期間が経過すると、ランキングシグナルが適用されて、本来の掲載順位へと戻っていきます。こういったことは多く見受けられるので、一時的にですが、検索順位が下がることがあることを事前に把握しておきましょう。
2018年最新のSSL事情とは?SSLを強制的に無効化するってホント?
SSLについてインターネットで検索すれば、2014年ごろの情報がたくさん出てきます。そのころは、ランキングシグナルでもあまり重要視されておらず、“対策しておいてくださいね。”という程度だったので、どんなSSL証明書でもなんら問題が発生しませんでした。
そのため、“SSLは、導入していれば、なんだっていい。”と情報発信されたページが上位表示しています。このような情報を信じてしまって、“適当に安いやつを導入しておこう!”と決めてしまったら、あとでトラブルの原因となります。
なぜなら、2018年になってGoogleは、質の悪いSSL証明書を強制的に無効にすると発表したからです。それでは、2018年における最新のSSL事情について、ご紹介します。
2018年3月と10月にシマンテック系のSSLサーバ証明書が無効化
2018年Googleのランキングシグナルに関するニュースの中でも、最も重大な発表は、“シマンテック系のSSLサーバ証明書の無効化”にかんする話題でしょう。すでに、SSLサーバ証明書は、さまざまな場所で作られており、会社によって質もいろいろです。今回の発表では、全世界で30%のシェアを占めているシマンテック系のSSLサーバ証明書が、無効扱いになると発表されました。
アップデートによって一気に変わるわけではなく、2018年3月と10月の2段階形式で少しずつ実施されるようです。そのため、現時点で、シマンテック系のSSLサーバ証明書が無効化になっている方もおられると思うので、チェックされてみてください。
今回、無効化の対象となったのは、ChromeとFirefoxのブラウザです。特に、Google Chromeの利用者の方は、自社のブラウザでウェブサイトを閲覧して、SSLサーバ証明書の有効性を確認しましょう。ちなみに、SSL/TLSサーバ証明書の中でもベリサイン/シマンテック系のものは、下記のスケジュールで強制的に無効化されることが分かっています。
SSL/TLSサーバ証明書の無効化のスケジュールと対象サーバの発行元
まず、今回のアップデートで無効化される対象のサーバ証明書の発行元を掲載しておきます。
- Thawte
- Symantec
- RapidSSL
- GeoTrust
そして、SSL/TLSサーバ証明書の無効化のスケジュールは、下記の形式で決まっているようです。
現時点で最も直近のアップ―デートは、2018年3月15日頃に実施されます。Chrome 66のベータ版で、2016年6月1日より以前に発行した対象サーバの証明書を信頼しない設定へと変更されます。
次のアップデートは、2018年4月17日頃です。Chrome 66の通常版で、2016年6月1日より以前に発行した対象サーバの証明書を信頼しない設定へと変更されます。
ここで5ヵ月間ほど空きがあり、2018年9月13日頃に、アップデートが実施されます。Chrome 70のベータ版で、上記に掲載した対象サーバの証明書をすべて信頼しない設定へと変更されます。
そして、最終スケジュールとして、2018年10月23日頃に、Chrome 70通常版で、上記に掲載した対象サーバの証明書をすべて信頼しない設定へと変更されます。
SSL/TLSサーバ証明書の期限が残っていてもなんら意味を持たない
現状で、シマンテック系のSSLサーバ証明書を利用している方の中には、まだ利用期限が残っているという方もいるでしょう。“せっかくお金を払って導入したのに、残った期限分は、使えないの?”と思われているのではないでしょうか。
現時点でのGoogleの命令は絶対的なものなので、SSLサーバ証明書の利用期限が残っていても無効化されてしまうことは間違いありません。そのため、たとえSSL/TLSサーバ証明書の利用期限が残っていてもSSLを導入していないサイトの扱いとなります。
結果的に、ブラウザ自体が正当な証明書を利用していると認めてくれなくなるため、HTTPSだったものが、HTTPになってしまいます。上記で掲載したスケジュール設定は、Google Chromeの予定によるものですが、Firefoxでも同じようなタイミングで実施されることが分かっているので、早急に対応しておいた方がよいでしょう。また、自社でECサイトを運営していないからといって、なんにもしなくてよいというわけではありません。
あなたのホームページには、メルマガの会員登録ページやお問い合わせページが存在するのではないでしょうか。このようなページを持っている以上、個人情報を含んだデータ通信が行われるため、SSLの導入が必須となってきます。
シマンテック系のSSLサーバ証明書で一体何が起きているのか
検索エンジンでも重要なランキングシグナルとして扱われるSSLサーバ証明書ですが、“シマンテック系”の証明書で一体何が起きているのでしょうか?Googleは、シマンテック系のSSLサーバ証明書に対して、以前から指摘を行っていました。
実は、Googleでは、2017年6月に、SSLサーバ証明書発行手続きにおいて、シマンテック・ウェブサイトセキュリティに問題が発生しており、信頼できる証明書として取り扱うことができないと、同じような系列で発行されたSSLサーバ証明書を段階的に信頼しないということが明言されていました。
前提条件として、SSLサーバ証明書というものは、厳格な手続きを経ることで、発行が許されるべきものでなければいけません。しかしながら、シマンテック系のSSLサーバ証明書は、不適切な方法で手続きが行われたため、将来的に“なりすまし”などのトラブルが発生することが予想されました。
シマンテックは、現在の証明書ビジネス以外にもさまざまなビジネスを手がけており、世界中にあるウェブサーバ証明書だけで30%以上のシェアを獲得していると言われています。これほどまでにシェアを獲得していたとしても、Googleとしては、リスクのあるSSLサーバ証明書を認めることはできません。
Google自体も交渉の余地なしに、強制的に無効にするという手段をとったわけでもありません。明確なコミュニケーションのあと、具体的なトラブルに対する解決がみられなかったため、シマンテック系のSSLサーバ証明書を無効にする強行的な手段に踏みきりました。
シマンテックのSSL/TLSサーバ証明書の事業が売却された
シマンテックは、さまざまな証明書の事業を展開していると説明しました。その後、シマンテックは、SSL/TLSサーバ証明書の事業をDigiCert社に売却しています。ちなみに、社名は、デジサートと呼びます。DigiCert証明書は、大企業から中小企業、ファイナンス、政府、教育機関、eコマースなどさまざまな事業で使われているため信頼できます。
マイクロソフトからも推奨されており、コードサイン業界では、最高峰に位置する証明書であるため、非常に安全性が高いです。DigiCert社は、証明書の管理や発行に強みのある会社なので、この事業売却は正解だったのではないでしょうか。また、今後の予定としては、DigiCertは、この業界の厳格なルールに基づいて証明書ビジネスを行っていくことに加えて、日本に証明局を設立するなど、ますます事業規模的にも拡大していくようです。
DigiCert社が対象となる証明書を置き換えてくれる
シマンテック系のSSLサーバ証明書を使っている方は、DigiCert社が無効化の対象となる証明書を新たなものに置き換えてくれることが分かっています。現時点のものが、使えなくなったからといって、新たなものを購入する必要はありません。
しかしながら、SSLサーバ証明書は、ウェブサーバにインストールして利用するものであるため、自動的に書き換わるわけではありません。そのため、企業が自ら新しい証明書を置き変える作業を行わなければいけません。現時点で、DigiCert社は、置き変え作業が必要な方に、連絡をとっているそうです。
このとき注意していただきたいのは、DigiCert社が連絡しているのは、“SSLサーバ証明書の手続きをした本人の連絡先”に限定されているということです。もし、仮に退職していたり、担当者自体が諸事情でほとんど会社におらず、メール自体を確認しない場合は、メールが届いているのに気がつかない場合があります。
そのため、複数サイトをさまざまな支店で管理している場合は、SSLサーバ証明書の手続きをした本人に早急に連絡をとって適切に手続きを進めてください。ちなみに、SSLサーバ証明書の再発行手続きは、有効期限内であれば、無料で実施してくれるということですので、トラブルが発生した場合は、DigiCert社に問い合わせてみると良いでしょう。
SSL化におけるHTTPS非対応時の検索順位のまとめ
今回は、SSL化が検索順位にどのような影響を与えるのか、説明させていただきました。SSLサーバ証明書の役割を理解していただけたのなら、きっと導入することが必須となることをご理解いただけたと思います。常時SSL化にしないということは、お客さまの情報を常に脅威にさらしていることになります。
この点については、法人または、個人ブロガー、アフィリエイターという立場をこえて、必ず対策するべき項目となってくるため、自身が利用しているレンタルサーバーでSSLの導入方法を調べて、自分で設定可能であれば、しっかりと導入していきましょう。