http:→https: SSL化の設定手順および注意点

まずはサーバーでSSL設定をします

まずは現在のホームページを稼働させているサーバーでSSL暗号化の設定をおこないます。
各レンタルサーバー会社はインターネット業界の流れとして、無料SSLサービスを標準で利用できる様にバージョンアップしていたり、或いは利用できるサーバーを別途準備していたりしています。

大手サイトが一斉にサイトをSSL化している背景もあり、一般サイト運営者にもSSLの需要が高まるのと同時に、セキュリティ・信頼性の面やSEO的な意味でも「レンタルサーバー必須のインフラ」という認識が広まっているためです。今利用しているレンタルサーバーが無料SSL暗号化サービスを提供していれば、SSLの維持料金はとりあえず無料となります。

簡易版ではなく明確な企業認証を必要とする会社様は、無料のSSLサービスではなく「独自SSL」を別途利用するべきだと思います(利用料は年間単位となり、認証グレードによって変動します)。

もし利用しているレンタルサーバーが無料のSSLサービスを提供していない場合は、お客様自身で手作業で設定を掛けるか、無料SSLサービスを提供しているサーバーにサーバー移転をする必要がございます。

WEBサイトのhttps:での確認

設定が反映された後、アドレス欄にhttps://ドメイン名/を打ち込んで、表示されるかどうかを確認します。この時IEのブラウザで「セキュリティの警告」ガイダンスが最初に出たりする場合は、HTML内の記述に不十分なところがある事を示していますので、手元のファイルを修正してUP・更新をしていきます。

特にGoogle Chromeのブラウザだとわかりやすいです。設定が正常な場合、上のURLを表示している欄の左隣に「保護された通信」と緑色で表示されます。不十分であれば!マークが表示され、「保護されていません」という説明が表示されますので、それが完全に出なくなるまで修正を繰り返していけば良いのです。

保護通信が正常の場合
SSL保護されていますのアドレスバー

保護が不十分な場合
SSL保護されていないアドレスバー

上記はあくまでhttpsでサイトを表示した場合のお話なのですが、Google Chromeは2018年7月下旬より、従来のhttpの状態でホームページを開いた際にも「保護されていない」事を表示するバージョンアップが実施されました。サイトが危険なのではなく「https:でないから」という理由です。
つまり「https:」でなければ強制的に警告が出る様になるのです。
Googleはhttpsで通信できる事・SSL暗号化設定をしている事が「これからは普通です」という新しい常識を投げかけてきた事になります。
何も知らずにGoogle Chromeを使っているユーザーが「保護されていない」という表示に気が付いたら、不安になってそのまま次のサイトへ行ってしまう可能性も少なからずあります。ですので早急な対策が必要になります。

HTML内の修正についての注意点

HTML内の記述を修正する時の大まかな注意点をご説明します。まず、自身のドメインがhttp:から記載してある絶対パス表示の場合は、全てhttps:に変えておきましょう。それ以外の相対パス表示(/aaa.htmlや、../../bbb.html、「/」のみなど)は基本的に変更する必要はありません。そこは無視をして他のところを確認していきましょう。検索・置換機能を使えば一発で処理できますのでお勧めです。

基本的に自サイトから外部に出している他社サイトURLにも修正の必要はありません。aタグ内がhttp://の他社サイトURLであってもそのままで大丈夫です。それから他社サイトから受けている外部リンク(自社サイトへのリンク)はもちろん自身の手でhttpsにする事はできませんので、考慮しなくて構いません(最終的に.htaccessなどで処理をします)。

2018年11月18日【追記】

例外として、Googleのサイト内検索ボックスタグ部分やヘッダーで読み込む「ajax」コードなど、http:で始まるGoogleのURLはhttps:へ変えておく必要があります。このあたりIEブラウザで見るとセキュリティの警告が出るので確認できますが、GoogleChromeの場合は警告が出ない(出ない代わりに対象のajaxコード部分を読込していない・或いは機能していない等)様ですので、複数ブラウザでの確認が必要です。)追記ここまで

よく発見が遅れるのが、html内に記述してあるjs/系のプログラムファイルやcss/系のスタイルシートファイルです。HTMLの外にありますが読み込みを都度おこないますので、jsファイルやcssファイル内に「http:」と絶対パスで自社URLが入っている事がままあります。これは1つずつファイルを開けてチェックしていきましょう。

.htaccessによるリダイレクト設定

ブラウザでの確認が済んだら次の作業です。上記でも述べましたが外部サイトからリンクを貼ってもらっていたり、お気に入り登録などしてもらっている場合は、当然そこまで変更はできませんのでhttpのままになっています。そしてSEOの順位を決める評価基準もhttp:のサイトに対して評価がついています。そのため、http:でのアクセスは全て強制的にhttps:へ飛ぶように設定を掛ける必要があります。

そうすればhttp://abcde.com/ にアクセスがあった場合、https://abcde.com/へ飛ぶようになります。タイムラグなしにリダイレクトができるので見た目の違和感もないですし、ユーザーは何も設定変更をする必要はありません。TOPページだけでなく中のページのすべてに対してこの効果が反映されます。さらにこの設定を掛ける事でSEOの評価もhttps:の方に移行していきますので、力をそのまま引き継ぐことができていろいろ便利です。

.htaccessの書き方

利用しているサーバーによって多少違いますが、基本は下記のように書いた.htaccess(テキストファイル)をTOPページがある区画にアップするだけです。詳しくは「.htaccess ssl リダイレクト」などで検索して他社サイトを参考にされて下さい。

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://www.akiplan.jp/$1 [R=301,L]

2018年9月19日【追記】
WordpressでTOP以外の固定ページなどがhttpsへリダイレクトされない場合

上記はHTMLサイトでのSSL化を述べたもので、WordpressのSSL化の場合には.htaccessファイルの記述(上の3行)を書く位置に注意が必要です。書く位置を一番下にしていたりすると、TOPページはhttp:で接続した場合強制的にhttps:へ飛びますが、それ以外の固定ページなどがリダイレクトされない場合があります。

下の様にコメントアウト欄内の一番上などに記述をする事をお勧めします。きちんと固定ページなどがリダイレクトされるかどうか確認をおこなって下さい。

# BEGIN WordPress
↓ここから記述
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
↑ここまで(以下は元々の記述)
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

以上で設定は終了です。

昔の様にお問い合わせ部分へのSSL設定ではなく、サイト全体に対してSSLを掛ける事が基本ベースとなる時代が訪れました。HTML版は特に難しい事はないと思いますが、ファイルが多いと修正が大変である事、それからSNS(facebook・Twitter)の「いいね」などのカウント数はhttpsへURLが変わるため一旦リセットが掛かって「0」になってしまうこと等いろいろ問題は生じます。しかし業界全体が暗号化の方向へ進んでおりますので、なるべく早めの対応が必要だと思います。

  • お問い合わせはAKI企画へ

    AKIplanning

    ハイクオリティで洗練されたデザイン、ユーザーの心をつかむ機能、そして安心のカスタマーサポート。お問い合わせ頂ければ、AKI企画の対応力をきっとご理解いただけます。

    092-542-6602(番号タップ)

TopicsSEOトレンド