SEO対策に。「常時SSL」の基礎知識

pixelcreatures / Pixabay

近頃『常時SSL』がWebサイト運営の重要なトレンドになってきています。

本記事では技術的なことは眠くなるので可能な限りスッ飛ばして、「SEO対策としての常時SSL」を若干不真面目に噛み砕きつつ、でも誠実に説明します。

対象読者は個人サイトを運営するブロガー・アフィリエイターです。

先に結論を申し上げると「個人サイトは無料のDV証明書で十分」です。

スポンサーリンク
スポンサーリンク

拝啓、ウェブマスター様

昨今、天下のGoogle神が「常時SSL」を推奨しています。
(オブラートに包んで検索結果に影響するぞと言っています)

「うちはお金や個人情報を扱っているサイトではないのでセキュリティは関係ない」
わかります!

「どーせサーバ屋の新手のバズワードだろ?」
わかります!

しかし、Google神が推奨する以上、私達のように本来はセキュリティ対策が必要ない個人サイトも鼻をほじって見てるわけには行かなくなりました。

例えば当サイトはPVの8割をGoogleの検索結果に依存し、Google AdSenseで収益の9割を頂いているため、Google様には足を向けて寝られません。

google is god

普段から1位でも上位表示を目指す為にしのぎを削っている訳ですから、実施するしないは別として「知っておく」必要があります
私達Webサイト運営者はアクセスが有って初めて飯が食える訳ですからね。

そもそも「SSL」って何よ?

SSLはSecure Socket Layerの略で

  1. WebブラウザーとWebサーバの通信内容を暗号化して盗聴を防ぐ
  2. 通信相手の正当性を確認する

技術です。
TLS(Transport Layer Security)と呼ぶこともあります。

「SSL」は元々ネットスケープ社が開発したもので、いわゆる業界標準でした。
それを改良し、IETFが標準化したものが「TLS」です。→参考

TLSはSSLを元に発展させた規格で厳密には全く別の仕様になりますが、両者ひっくるめて「SSL」又は「SSL/TLS」と表記し、サーバー側も両対応していることが普通なので利用者レベルで違いを気にする必要はありません。

IT技術者以外は【SSL=TLS=通信暗号化の手段】という認識で十分でしょう。
この記事でも、そのニュアンスで書いています。

通常のページはURLが「http://~」で始まりますが、SSLで通信内容がが保護されたWebページはURLが「https://~」で始まります(S=Secure)。

以降、文脈の都合上『SSL』のことを『HTTPS』と呼ぶことがありますのでご留意ください。

じゃあ「常時SSL」って何よ?

スポンサーリンク

サイト内の全のページをSSL化することです。
言い換えると、トップページ含め全てURLを https://~ にするということです。

一昔前は「ログイン画面」や「クレジットカード番号入力画面」など、本当に盗聴を防ぐ必要のあるページのみSSLを使っていましたが、近頃は

「いっその事、全ページSSL化して全部盗聴不能にしたらよくね?」

というトレンドになってきています。

「常時SSL」はGoogleが推進している

では何故「常時SSL」がトレンドになっているのかというと、インターネットの巨人であるGoogleが常時SSLを推進しているからです。

まず、「SSL(HTTPS)対応サイトの検索結果を優先する」と明言しています。
目に見えるほどの変化は期待するな、と言いますがランキングが「少し上昇する」と明言しています。

HTTPS サイトになるとランキングが少し上昇しますが、目に見えるほどの変化は期待しないでください。

Search Console ヘルプ – HTTPS でサイトを保護する

(2017/03/12追記)
いつの間にかこの表記は削除されていました。

そして「いずれChromeで全てのHTTPページに警告を表示すると言っている」と言っています。

In following releases, we will continue to extend HTTP warnings, for example, by labelling HTTP pages as “not secure” in Incognito mode, where users may have higher expectations of privacy. Eventually, we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS.

(意訳)
将来的にHTTPページに対する警告の表示範囲を段階的に広げてゆきます。
まずは利用者が高度なプライバシーを求める『シークレットウインドウ』でHTTPページに「セキュアでない」と警告を表示します。

最終的には(シークレットウインドウでなくとも)全てのHTTPページに対して警告を表示することになるでしょう。

Google Security Blog – Moving towards a more secure web

個人的には検索順位よりこちらの方が恐ろしいです。

ここに行き着くまでは相当な時間が掛かると思いますが、こうなると死活問題です。
内容が真っ当なページであっても警告マークが表示され、閲覧者が「なにこれ怖い」と離脱すること確実です。

何故Googleは「常時SSL」を推進するのか

スポンサーリンク

昨今、無線LAN普及によって通信傍受(盗聴)が容易になっています。

有線LANの場合はケーブルやHUBに対して

  • ケーブルの途中を切って分岐する
  • HUBにケーブルを挿す

など、物理的にアクセスしないと盗聴は出来ないため敷居が高いものでしたが、無線LANの場合は情報が空気中を飛び交う為、リスクや手間なく盗聴できます。

無線LANは暗号通信機能を持っていますが、公衆Wi-Fiスポットなど、利便性のため暗号化していない無線LANも多々あります。
そのため、回線のセキュリティだけでなく、Web画面側でもセキュリティ対策が求められています。

こういった状況を鑑み、ユーザーの利便性向上を社是とするGoogleが率先してSSLの使用を「義務化」することで通信の安全性を向上させようとしています。

他、「常時SSL」のメリット

さて、天下のGoogle様が「やる」と言っているのですから、ぶっちゃけ他の理由など些細なことなのですが、一応他にもSEO的メリットはあります。

アクセス解析の参照元(リファラ)の取りこぼしを無くせます。

相手(参照元)がHTTPSで自サイトがHTTPの場合、参照元を取得できませんが、自サイトがHTTPSの場合は相手がHTTP/HTTPSどちらであっても取得できます。

img_sec02_04

これからHTTPS対応サイトが増えてゆく中で自サイトをHTTPで運営し続けると、アクセス解析で確認できる参照元が次第に減ってゆく、ということになります。

この仕様の原典(RFC等)が無いか調べたのですが、見つけられませんでした。
恐らく、セキュリティ上の観点から非セキュアなサイトへ情報を送るべきではないという考え方と思われます。
ご存じの方が居られましたらお教えください。

ここまでのまとめ

  • 通信を暗号化すること(URLをhttps://にすること)を「SSL対応」という
  • サイト内の全ページをSSL対応することを「常時SSL」という
  • Googleは常時SSLを推進している

「共有SSL」と「独自SSL」

スポンサーリンク

なるほど分かった。
とにかくSSL対応はした方が良いんだな、と。
じゃあレンタルサーバーにある「共有SSL」じゃだめなの?
これなら元々装備されてるからこれを使えばいいんじゃない?

・・・ダメなんです。

「共有SSL」機能はサーバーを使っている人全員で共同利用するためのもので、自分のドメインをSSL化することはできません。
したがって、自サイト内が全てSSLになっている「常時SSL」が実現できません。
自分のドメインをSSL化するには「独自SSL」機能が必要になります。

具体的には下図のようになります。

URLの形 結果
共有
SSL
https://アカウント名.サーバー名.レンサバ会社ドメイン/ サイトを常時SSL化
できない
独自
SSL
https://自分のドメイン/ サイトを常時SSL化
できる

「独自SSL」を使うためには

  1. サーバーが対応していることの確認
  2. 「SSL証明書」の取得

の2点が必要条件です。
ただしそう難しく考える必要はなく、大抵のレンタルサーバーは独自SSLに対応していますし、管理画面上で取得できます。(※無料や格安ではできないことがあります)

さらにいくつかのレンタルサーバーでは、無料で独自SSLサービスを提供しているところがあります。

SEOの観点から可能な限り常時SSLにした方が良いです。 一部サーバーではHTTP/2で表示速度が速くなるので、新規サイトなら必須と言えましょう。 常時SSLに必要な「独自SSL」機能を無料で使えるレンタルサーバーの一覧をまとめました。

ここまでのまとめ

  • サーバーで設定できるSSLは「共有SSL」と「独自SSL」の2種類がある
  • 常時SSLを実現するには「独自SSL」に対応している必要がある
  • 独自SSLを使えるようにするにはSSL証明書を入手する必要がある
  • SSL証明書はサーバー管理画面で取得できる

SSL証明書について

スポンサーリンク

冒頭でも書きましたが、SSLはブラウザ・サーバ間の通信を暗号化すると同時に『サーバの正当性を確認する』ための仕組みです。

ここで言う「サーバの正当性」は例えば

  1. ygkb.jp は確かに有限工房が所有するドメインである
  2. yahoo.co.jp は確かにヤフー株式会社が所有するドメインである

といったものです。

SSLを導入するためには「認証局」に身分確認をお願いして「SSL証明書」を貰わなければいけません。

認証局とは

SSL証明書を発行する団体です。
有料で発行している所と無料で発行している所があります。

有料 無料

SSL証明書とは

通信を暗号化するときの「鍵」です。

証明書には3タイプあります。

種類 内容 主な用途 相場
DV
証明書
ドメイン
認証
ドメインの使用権を証明 アンケート・キャンペーンサイト等 無料~
OV
証明書
企業
認証
DV+企業の実在を証明 企業・学校のサイトのブランディング 年額5万円~
EV
証明書
EV
認証
DV+より厳格な企業の実在証明 銀行・オンラインショップ等決済情報を含む個人情報を扱うサイト 年額10万円~

ここまでのまとめ

  • SSL証明書は認証局に発行してもらう
  • SSL証明書は有料のものと無料のものがある
  • 証明書にはDV・OV・EVの3種類ある

SEO的にはDV証明書で十分

スポンサーリンク

注意してほしいのはSSL証明書の種類(値段)と安全性は関係ないということです。
大手認証局から高価なSSL証明書を買ったから安全安心という訳ではありません。

SSLの安全性は暗号化に使用する「暗号方式」と「暗号鍵の長さ」で決まります。
認証局や証明書の種類による安全性の高低はありません。

OV証明書やEV証明書が有料で高価なのは

  • 登記簿謄本の確認
  • 法人の実印確認

などの「組織の実在確認」のためのコストが乗っているからで、純粋にSSL通信をしたいだけであればDV証明書で構いません。

Googleも「URLの最初の5文字が「https」であれば良い。証明書の種類は関係ない」と言っています。(→参考

従って、「個人サイトのSEO」という観点では無料のDV証明書で必要十分、となります。

無料DV証明書は「Let’s Encript」がメジャー

常時SSLのトレンドを受けて各レンタルサーバ業者さんも続々と無料SSLサービスを追加してきています。
無料SSLサービスの場合、「Let’s Encript」の証明書が多く使われています。
手続きの運用が自動化されておりコスト不要で利用できるからです。

無料だからと言って怪しい訳ではありません。
電子フロンティア財団/ミシガン大学/シスコ/Mozilla/アカマイ等、ネット関連の企業や団体がスポンサーの非営利団体で、どちらかと言うと公共サービスの色が強いです。

他の無料DV証明書に関しては

SEOの観点から可能な限り常時SSLにした方が良いです。 一部サーバーではHTTP/2で表示速度が速くなるので、新規サイトなら必須と言えましょう。 常時SSLに必要な「独自SSL」機能を無料で使えるレンタルサーバーの一覧をまとめました。

でも触れておりますので、是非ご覧ください。

まとめ

スポンサーリンク

以上、

  • SSLそのものの概要
  • 常時SSLを実現するためにはサーバーが独自SSLに対応している必要があること
  • 個人サイト(主にブログ・アフィリエイトサイト)では無料のDV証明書で十分

であることを説明しました。

では(^O^)/