インターネット環境の目まぐるしい普及によって、個人のWebサイトにおいても「個人情報の漏洩問題」への関心は増すばかりです。そこで、今注目されているのが「Webサイトの常時SSL化」です。
SSL(Secure Socket Layer)とは、データを暗号化し、安全に通信するための仕組みです。URLは「https://~」とhttpにsが付いたものとなり、アドレス欄に施錠された鍵のマークが表示されていれば「データの通信が暗号化により保護されていること」を示します。そして、その鍵のマークをダブルクリックすると、サーバーのデジタル証明書(身元証明書)の確認ができます。
一般的に「SSL」という名称が浸透しているため、現在の正しい規格は「TLS(Transport Layer Security)」であるにもかかわらず、業界ではユーザーの混乱を防止する対策として、現在も「SSL」や「SSL/TLS」と表記することが多くなっているようです。
「常時SSL化」することによるメリット・デメリット
まず、「常時SSL化」することによるメリット・デメリットにはどんなものがあるのか、簡単に説明しておきます。
- セキュリティの強化
改ざんやなりすましの防止、マルウェア対策、盗聴防止(ユーザーのブラウザに保存されているcookieなどのデータに含まれる「ログイン情報など」個人情報の盗聴(漏洩)を防ぐ。)につながります。 -
信頼性の向上
鍵マークが表示されることにより、ユーザー自身が「SSLサーバー証明書」の確認ができることは、安心して利用できるサイトであることの証となり、サイトの信頼性向上につながります。 -
アクセス解析でのリファラー精度向上
リンク元を知るために重要な「リファラー」を「httpとhttps」両方のサイトから受け取れるようになり、アクセス解析の精度が向上します。 -
SEOに少し有利
Googleが2014年8月に「https」を検索結果のランキングシグナルに使用することを公式に発表したことがきっかけで、常時SSLが以前よりも注目を集めるようになりました。ただし、影響を受ける検索結果は全体の1%未満とのことです。 -
HTTP/2対応ブラウザでの表示速度向上
IE、Safari、Firefox、Chromeなど主なブラウザの最新バージョンは「HTTP/2」に対応しています。
- 運用コストの増加
SSLサーバー証明書の発行に費用が発生します。料金は証明書を発行する「SSLブランド」によって異なります。個人サイトであれば、エックスサーバーが提供している「無料独自SSLサービス」からスタートしてみてはいかがでしょうか。 -
httpのサイトにリファラーを渡せなくなる
自分のサイトから外部サイトへのリンクを重要視しているサイトは、何らかの対策が必要になります。 -
はてなブックマーク未対応
アイキャッチ画像のサムネイルが表示されない、ブラウザ拡張のはてなブマークにブックマーク数が表示されない、などSSL未対応のようです。 -
ソーシャル系ボタンのカウント数がリセットされる
「http://〜」と「https://〜」はまったく別のサイトとして扱われるため、今までのカウントはリセットされてしまいます。ただし、SSL化する前にWordPressブラグイン「SNS Count Cache」をインストールしておけばカウント数を引き継ぐことができるようです。 -
広告収入の減少リスク
以前、AdSenseヘルプには「・・・・オークションの競争率が低下して広告収益が低下する可能性があります。」との注意書きがありましたが、現在は以下のような注意書きに変更されています。ということは、広告収入の減少リスクの心配は必要なくなったということになります。
「サイトを HTTPS に変更しても、多くのユーザーに表示される広告やオークションの競争率に影響はありません。ただし、HTTPS トラフィックが遮断されたり、阻害されたりする国のユーザーのみ例外です。」
AdSenseヘルプ「SSL 対応の AdSense 用広告コード」より抜粋
常時SSL化にともなう作業と設定変更 エックスサーバー + Simplicity2の場合
ではここからは、私がサイトの「常時SSL化」を行ったときの「作業手順と修正したタグ」についてお知らせします。
大きな理由は、私が利用しているエックスサーバーで「ドメイン認証型SSLが無料・無制限で利用可能」といった願ってもないサービスが開始されたことと、WordPressテーマ「Simplicity2」のバージョン2.4.9から「簡単SSL対応機能」が追加されたことにあります。
コンテンツ内に「httpとhttpsのURLが混在(混在コンテンツ)」している場合、「鍵が不完全な状態(完全にSSL対応にならない状態)」になってしまいます。「簡単SSL対応機能」は、この状態に対処するために「非SSLのURLを、表示毎にSSL対応URLに置換して再表示する機能」です。
この機能のおかげで、面倒なURL書き換え作業をする必要がなくなり、作業時間の大幅な短縮になります。(個別に書き換えが必要なものもあります。)Simplicity作者の「わいひらさん」には本当に感謝です。
WordPressサイト「SSL化」への作業手順
- サーバー:エックスサーバー(X10)
- ブログソフトウェア:WordPress
- WordPressテーマ:Simplicity2(現在、Simplicityの後継となるSEO・高速化・モバイル最適化済みの新テーマ『Cocoon』が公開されています。)
- サーバー(ここではエックスサーバー)にてSSLの設定をする
-
WordPress管理画面でアドレス設定を変更する
-
.htaccessで301リダイレクト設定をする
-
Simplicity2の「簡単SSL対応」機能を有効にする
1.サーバー(ここではエックスサーバー)にてSSLの設定をする
利用中のサーバーにてSSL化したいドメインに対して「SSL」設定をします。ここではエックスサーバーを例に説明しますが、設定方法はサーバーによって異なります。例:サーバーパネルのドメインから「SSL設定」を選択します。
次のドメイン選択画面で「SSL化したいドメイン」を選択します。
SSL設定の「独自SSL設定の追加」をクリックします。
設定対象ドメインを確認し、「独自SSL設定を追加する(確定)」をクリックすれば設定完了です。
注意書きにもありますが、サーバーに設定が反映されるまで最大1時間程度かかりますので、慌てず少し時間をおいてから次の作業に移りましょう。次の作業を行うまでは、サイト表示に変化はありませんのでご安心を。
2. WordPress管理画面でアドレス設定を変更する
次に、WordPress管理画面の「一般設定」にてアドレスを「http → https」に変更します。必ず「WordPress アドレス」と「サイトアドレス」の両方を変更して保存します。これを間違えると「データーベースを修正しなくてはならない」という面倒なことになるので、十分確認してから保存してください。
この時点でサーバーにSSL設定が反映されていれば、「https://〜」でサイトにアクセスできるようになります。
3. .htaccessで301リダイレクト設定をする
デメリットのソーシャル系ボタンのところでも説明したとおり「http://〜」と「https://〜」は別のサイトとして扱われるため、今まで構築してきたサイトの評価(Google検索など)がSSL化することでクリアになってしまいます。そこでどちらも同じサイトであることを通知するために、リダイレクト設定して統一化します。
「.htaccess」の冒頭に以下のコードを追加します。「.htaccess」の編集はテキストエディタを使用するか、エックスサーバーであればサーバーパネル → ホームページ → 「.htaccess編集」を使って編集します。
4. Simplicity2の「簡単SSL対応」機能を有効にする
そして、次にWordPressテーマ「Simplicity2」の便利ツールである「簡単SSL対応」機能を有効にします。WordPress管理画面の「サイトのカスタマイズ」ボタンをクリックするか、「外観」から「カスタマイズ」を選び、その他の項目にある「内部URLをSSL対応(簡易版)」にチェックを入れます。
この「簡単SSL対応」機能によって、以下のようなURL置換が行われるようです。
• 内部リンクURLのSSL化
• Amazonアソシエイト画像のSSL化
• バリューコマース画像(インプレッション画像)のSSL化
• もしもアフィリエイト画像(インプレッション画像)のSSL化
• A8.net画像(インプレッション画像)のSSL化
• アクセストレード画像(インプレッション画像)のSSL化
• 古いはてなブログカードの iframe URLのSSL化
• はてブ数画像のSSL対応
• 楽天商品画像のSSL対応
• Google検索ボックスのSSL対応
「Simplicityの「簡単SSL対応」機能を用いてサイトをSSL化する方法」より
以上で大まかなSSL化作業は完了です。あとは各ページを閲覧して混在コンテンツになっていないかをチェックしていかなくてはなりません。「鍵がロックされていない」とか「鍵マークが表示されていない」場合は原因となっているタグを探して個別に修正する必要があります。
Simplicity作者のサイトが参考になると思います。
参考サイト :「Simplicityの「簡単SSL対応」機能を用いてサイトをSSL化する方法」
参考サイト :「WordPressをhttpからhttpsにSSL化した全手順まとめ(エックスサーバー環境)」
SSL化後の設定作業と未対応タグの修正
- Google Search Consoleに再登録が必要
「http://〜」と「https://〜」は別のサイトとして扱われますので再登録する必要があります。「https://〜」のアドレスで「プロパティの追加」とサイトの「所有権の確認」作業を行います。 -
GoogleAnalyticsの設定変更
Google Analyticsの「デフォルトのURL」を変更する必要があります。「アナリティクス設定」から「プロパティ設定」を選択して、「デフォルトのURL」の「http://〜」を「https://〜」に変更して保存します。 -
ブログパーツの張り替えが必要
「にほんブログ村」「人気ブログランキング」などのランキングに参加している場合は、「ブログパーツ」のタグを再取得し張り替える必要があります。 -
背景画像・タイトルロゴ画像・アイコンなどの再設定
サイトヘッダーなどに画像を指定している場合は、WordPress管理画面の「サイトのカスタマイズ」ボタンをクリックするか、外観からカスタマイズを選び、項目の「サイトの基本情報」「ヘッダー」「背景画像」「その他」で画像の再設定をします。 -
サイト内Google検索ボックスのタグ変更
サイドバーウィジェットに「サイト内Google検索ボックス」を設置している場合、タグ内の「”http://www.google.co.jp/〜」を「”//www.google.co.jp/〜」に変更します。(2箇所)
利用できなくなったサービス(私の場合)
- はてなブックマークのブックマーク数
「はてなブ」はSSL未対応のため、SSL化する前にブックマークしていただいたカウント数も表示されません。ブックマークしていただいた方には申し訳ない気持ちでいっぱいです。SSL化後にブックマークされたカウント数は、ブラウザの「はてなブアイコン」をクリックすることで確認できます。 -
iTunes試聴用プレーヤーの「controls」タグは使えない
サイト内で独断と偏見で選んだ「おすすめCD」(音楽アルバム)の記事を書いていますが、そこに設置していたiTunes試聴用プレーヤーのリンク用タグがSSL非対応のため、「controls」が使用できません。やむなくiTunesでの試聴に切り換えました。
もう迷うことなく「SSL化」できる時が来た!
今後、個人サイトにおいても個人情報保護のための「データの通信が暗号化」は、ユーザーが安心して閲覧できるサイトであるための重要なポイントになってくるでしょう。
少し前までは、まだSSL未対応のアフィリエイトプログラムも多かったので二の足を踏んでいましたが、今ではほとんどが対応済みです。そして、「Simplicity2」に「簡単SSL対応機能」が追加されたことで、大幅な作業時間の短縮が可能になりました。
また、レンタルサーバーにおいても、エックスサーバーのように「独自SSL無料」のサービスを開始したところもあります。
もう迷っている時は終わりました。面倒なことは後回しにせず、とっとと片付けてしまいましょう。あなたもそろそろ「Webサイトの常時SSL化」に踏み切ってみませんか。
「常時SSL化」するなら、月額900円(税抜)からはじめることができる、高速・多機能・高安定レンタルサーバー『エックスサーバー』をおすすめします。 2017年7月11日〜 オールSSD RAID10(ストライピング+ミラーリング)構成が採用されました。
今がチャンス! 2024年12月4日より2025年1月7日まで、『最大30%オフキャンペーン』実施中!
月額900円(税抜)から、高速・多機能・高安定レンタルサーバー『エックスサーバー』
記事 エックスサーバーを選んだ理由はこちらの記事で