ホームページをHTTPS化するメリットや方法を徹底的に解説

近年、インターネット全体でHTTPS化が急速に進んでいます。

HTTPSとは、SSL/TLSという技術を使った通信暗号化で、ユーザーが安心して使えるセキュアなホームページを構築できます。

加えて、通信速度のアップやSEO対策にも有効です。

今回の記事では、ホームページをHTTPS化するメリットや方法についてわかりやすく解説します。

HTTPは「Hyper Text Transfer Protocol」の略語で、インターネット上でHTMLファイルをやりとりするときに使われる通信手段がHTTPです。

HTTPは1990年前後に CERN（欧州原子核研究機構）に所属していたティム・バーナーズ・リーによって開発されました。

HTTPの特徴としてはステートレスであることが挙げられ、1回のコマンドを送ると1回の結果が返ってきてそれで通信が終わります。

この特徴のメリットは、プログラムがシンプルになることとで、デメリットは、複数回のやりとりが追跡できないことです。

現在ではCookieなどの別の技術と組み合わせて、ECカートで買い物をするといった複数回のやりとりを追跡しています。

インターネットで、ブラウザとサーバーがやりとりする通信手段の一種がHTTPSです。

HTTPSは「Hypertext Transfer Protocol Secure」の略語で、HTTPをセキュアにしたものです。

HTTPSで暗号化されたホームページは、URLの先頭に「https://」と付きます。

厳密には、HTTPSはプロトコルではありません。

SSL/TLSによって提供されるセキュアなHTTP通信のことを、HTTPSと呼んでいます。

HTTPSは認証や暗号通信を行うため、ネットスケープコミュニケーションズによって開発されました。

現在ではGoogleがHTTPSを推奨しており、SEO対策としてもHTTPSに切り替えることが求められています。

HTTPとHTTPSの違いは以下の3つが挙げられます。

セキュリティの面でHTTPとHTTPSには大きな違いがあり、HTTPがハガキだとすれば、HTTPSは封書のようなもので、暗号化されて中身が見えないようになっています。

HTTPのURLは「http://」から始まるのに対し、HTTPSは「https://」から始まります。

閲覧しているホームページがHTTPとHTTPSのどちらかは、ブラウザのURLからすぐに確認が可能です。

もともと、HTTPSは遅いとされていましたが、HTTP/2の登場によってHTTPSの方が早く通信ができるようになり、HTTPSの方がHTTPより6倍以上の速度が出るとのデータもあります。

ホームページをHTTPS化するメリットについて解説します。

HTTPを用いるホームページは通信が暗号化されておらず、第三者からブラウザとサーバー間のデータを盗聴、改ざんされてしまう恐れがあります。

しかし、HTTPSなら暗号化されているため、その心配はありません。

HTTPSはSSL/TLSという技術を用いて通信を暗号化しており、ユーザーが安心してホームページを利用することができます。

特にECサイトやログインが必要な会員サイトでは、HTTPS化してセキュリティを向上することが求められます。

もともと、HTTPSを用いているホームページは表示速度が遅いと言われていました。

しかし、HTTP/2の登場によってHTTPSはHTTPよりも高速になりました。

ホームページの表示速度はユーザビリティにとって非常に重要です。

たとえば、Amazonの発表したデータによれば、表示速度が0.1秒遅くなると売り上げが1%減少したとのことです。

HTTPと比較すると、HTTPSは6倍もの速度が出るとのデータもあります。

ホームページを高速表示したいなら、HTTPSに切り替えるのがおすすめです。

HTTPSはGoogleが推奨しています。

GoogleがリリースしているウェブブラウザのGoogle Chromeでは、2018年からHTTPのホームページに警告が出るようになりました。

逆に、HTTPSのホームページでは、ユーザーが安心して使えるコンテンツとして評価されます。

そのため、SEO対策としてHTTPSに切り替えることはとても重要で、HTTPSを用いたホームページは、HTTPを用いているホームページより上位表示されやすくなります。

現在では全体の9割以上のホームページがHTTPS化されており、SEO対策としてHTTPS化はもはや常識レベルです。

HTTPSにすることで、Googleアナリティクスなどのアクセス解析の精度向上が見込めます。

Googleアナリティクスには、ホームページの参照元がわかるリファラーという機能があります。

この機能は、HTTPを用いたホームページの場合、HTTPからのリファラーしか受け取れません。

しかし、HTTPSを用いたホームページなら、HTTPとHTTPSどちらのリファラーも計測できます。

アクセス秋席の精度を高めたいなら、HTTPS化することが望ましいでしょう。

SSLサーバー証明書とは、ホームページ運営者の実在性を確認し、ブラウザとサーバー間で通信データの暗号化を行うための電子証明書です。

グローバルサインなどの認証局から発行されることが特徴で、SSLサーバー証明書には「ホームページの所有者の情報」「暗号化通信に必要な鍵」「発行者の署名データ」などが含まれています。

いくつか種類のある証明書の特徴や確認方法について解説します。

ドメイン認証のサーバー証明書が保証するのは、「ドメイン名の使用権」です。

ドメイン認証されたURLは偽装が不可能なので、ユーザーは証明書を確認することで、自分のアクセスしているドメインが正しいかどうか知ることができます。

ここではGoogle Chromeで、サーバー証明書を確認する手順を解説していきます（画像ではMacOSで作業を行っていますが、Windowsでもほぼ同じ手順で確認できます）。

Google ChromeのURL欄の鍵マークをクリックし、「この接続は保護されています」をクリックしましょう。

表示されたメニューから「証明書は有効です」をクリックしましょう。

サーバー証明書が表示されるので、認証局（グローバルサイン）と「この証明書は有効です」と表示されているのを確認しましょう。

企業認証のサーバー証明書は、企業実在認証とも呼ばれます。

証明書に記載されている組織が法的に実在し、その組織が証明書に記載されているドメインの所有者であることを示します。

証明書に記載されている組織名は偽装できないため、ユーザーはアクセスしているホームページの運営組織を知ることが可能です。

企業認証のサーバー証明書を確認したい場合は、上述のサーバー証明書の「詳細な情報」をクリックし、「サブジェクト名」から運営元の企業の情報を調べましょう。

EV認証のサーバー証明書は、証明書の中でもっとも厳格な審査が行われます。

「証明書に記載されるドメイン」「所有者や組織」「所在地」「申し込み意思と権限」を確認して発行されます。

EV認証は世界標準のガイドラインがあり、厳しい審査を受けなければなりません。

EV認証を導入したホームページは、アドレスバーにそのホームページの運営組織が表示されます。

ホームページをHTTPS化する手順について解説します。

最初にサーバーの対応状況を確認しましょう。

大手のレンタルサーバーはほぼHTTPSに対応していますが、対応していないレンタルサーバーもあるかもしれません。

対応状況を確認するには、マニュアルを参照するかコントロールパネルからレンタルサーバーに問い合わせてください。

HTTPS化するには、CSRを作る必要があります。

CSR（Certificate Signing Request）とは「証明書署名要求」と呼ばれ、ホームページの情報やディスティングイッシュネームを入力して作ります。

CSRの作成手順は、利用しているレンタルサーバーによって異なります。

作り方については各レンタルサーバーに問い合わせるか、マニュアルを参照してください。

CSRが完成したら、認証局にSSLサーバー証明書を申請して取得します。

サーバー証明書とは、ホームページ運営者の実在を確認し、ブラウザとサーバー間で通信データの暗号化を行うための電子証明書です。

SSLサーバー証明書には「共有SSL」「独自SSL」の2種類がありますが、HTTPS化するのに必要なのは独自SSLです。

認証局には「シマンテック」「グローバルサイン」「ジオトラスト」などがありますが、価格と知名度のバランスがよいグローバルサインがおすすめです。

SSLサーバー証明書が取得できたら、サーバーにインストールします。

インストール方法もレンタルサーバーによって異なります。マニュアルを参照するか、レンタルサーバーに問い合わせてください。

ホームページのHTTPS化は以上で完了しています。

後は、URLを「https://」に置き換えていきましょう。

グローバルメニューや各種リンク、CSS、画像などのURLをすべて置き換える必要があります。

置き換えが必要なのは絶対パスで記述しているリンクのみ。相対パスで記述しているリンクは書き直す必要がありません。

HTTPからHTTPSへのリダイレクトも必ず行ってください。

リダイレクトには「.htaccess」「WordPressのプラグイン」「PHP」などさまざまな方法があります。

一括して置き換えるなら、.htaccessを使う方法がおすすめです。

以下は、WWWなしのHTTPSに統一する場合の設定になります。

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteCond %{HTTP_HOST} ^www\.(.*) [NC]
RewriteRule ^ http://%1%{REQUEST_URI} [L,R=301]

ホームページをWordPressで作っているなら、HTTPSプラグインが便利です。

Really Simple SSLは、ワンクリックでWordPressをHTTPS化できるプラグインです。

ただし、サーバー側でSSLサーバー証明書を取得しておくことが前提となります。

Really Simple SSLを使うことで、ホームページの内部リンク書き換えやHTTPSへリダイレクトといった作業を自動で行うことができます。

加えて、HTTPS化が完了していない作業についても表示してくれます。

WP Force SSLも、ワンクリックでWordPressをHTTPS化するプラグインで、SSL証明書のテストツールも付属しています。

WP Force SSLをインストールして有効化するだけで、HTTPS化の作業が完了します。

専用の設定画面はなく、WordPressの管理画面から「設定」→「一般」を開いてURLを「https://」に置き換える作業が必要です。

有効化するとメッセージが表示されるので、それにしたがって設定してください。

SSL Insecure Content Fixerは、マルチサイトにも対応しているHTTPSプラグインです。

基本的にはインストールして有効化するだけで、コンテンツの修正が自動で行われます。

専用の設定画面が用意されており、細かな設定を柔軟にできます。

WordPressでマルチサイトをHTTPS化するなら、SSL Insecure Content Fixerがおすすめです。

今回は、ホームページのHTTPS化について解説しました。

インターネットはHTTPから始まりましたが、現在ではセキュアなHTTPSが主流です。

HTTPSは通信が暗号化されており、セキュリティの向上に役立ちます。

それだけではなく通信速度アップ、SEO対策にもHTTPS化は有効です。

HTTPS化は急速に進んでおり、現在ではホームページの9割以上がHTTPS化しています。

HTTPS化にはいくつかのレベルがあり、使用目的や用途に合わせたSSLサーバー証明書を取得することが必要です。

ホームページをHTTPS化して、ユーザーが安心して使える環境を構築しましょう。

ブログを始めるには、ライブドアブログやはてなブログといった無料ブログを使う方法、あるいはWordPressなどを使用する方法があります。

まだWordPressを持っていない人でも、簡単に準備できる方法を以下の記事で解説してます。
初心者でもわずか10分で始められるので、参考にしてみてください。

「お名前.com」は、国内No.1のドメイン登録サービス。独自ドメインと合わせて、WordPressの自動インストールに対応したレンタルサーバーも利用できます。
WordPressや独自ドメインを一度も使ったことのない人でも、スムーズに始められるはず。

独自ドメインを取得しようと考えている方は、以下のリンクから、ぜひご利用ください。