SSLって何？仕組み・設定手順・必要性を解説します！

インターネットは環境さえ整っていれば誰でも閲覧可能で、その分個人情報などのセキュリティは厳重に管理する必要があります。
今回は個人情報を守るための「SSL」について、「SSLとは何か？」「SSL通信の仕組み」「設定手順について」といった基本的な項目を、初心者に向けてわかりやすく解説します！

また、SEOについて動画で学びたい！という方のために、動画セミナーをご用意しています。
あわせてご覧ください。

▼人気の動画はこちら

セミナー【動画】SEO徹底解決セミナー：
第1回「内部施策の重要性〜タグ設定のポイント〜」

セミナー【動画】SEO徹底解決セミナー：
第5回「アクセスの解析方法と、アクセス数向上のポイント」

SSLとは？

SSLとはSecure Sockets Layerの略で、ユーザーのWebブラウザとサーバー間のデータ通信を暗号化する通信技術です。
難しい方はブラウザが「皆さんのPC」で、サーバーが「Webサイト」だと考えてください。

インターネット上で個人情報を安全に通信するためのセキュリティー対策として利用されています。
氏名・住所、クレジットカード情報、ログインパスワードといった個人情報は、常に悪意ある第三者に狙われています。

SSL化は通信中にこれらの情報が第三者からの盗聴や、送受信データの改ざんを防ぐ役割を担っています。
また、ホームページをSSL化する際、サイトのURLは「http」から「https」に移行します。
安全であるという意味のsecure（セキュア）の頭文字です。

SSL化が必要な理由 – 想定されるリスク

SSL非対応ですと情報漏洩の可能性があります。
SSL化によってデータ通信内容が暗号化されると、第三者に情報を盗聴されたとしても、内容を解読することが出来なくなります。
これにより、個人情報の流出や改ざんなどの深刻な事態を回避できます。

また、SSL非対応なサイトでは、成約における機会損失が発生する可能性もあります。
※皆さんは信用できないサイトで買い物をしたり、サービスの申し込みはしませんよね？

他に、Google Analytics（Googleが提供しているアクセス解析ツール）にも影響があります。
httpのままだと、「https」のサイトからのアクセスデータを正しく計測できないのです。
リスクの観点からも、解析の観点からもSSL化の実装は必要です。

SSLのバージョンとTLSについて

SSLは「SSL1.0」というバージョンでスタートし、「バージョン3.0」まで存在します。
バージョンアップの過程で設計の見直しが必要になり「TLS（Transport Layer Security）」というSSLの次世代規格が生まれました。
SSLの呼称が広く浸透している為、TLSとまとめて「SSL」と呼ばれたり「SSL/TLS」と呼ばれたりしています。

SSLサーバー証明書とは？

SSLサーバー証明書は信頼のおける第三者機関＝認証局が発行する電子的な証明書で、webサイトを安全に利用できることを証明するものです。

SSLサーバー証明書の必要性

データ通信の安全性が保たれていることを利用者に伝える為には、SSLサーバー証明書によってその安全性が保障されている必要があります。
サーバー証明書にはwebサイトの安全性を保つための3つの機能があります。

●ウェブサイトの所有者確認
●通信データの暗号化
●改ざんの検知

それぞれについて解説いたします。

ウェブサイトの所有者確認

下記2点を確認します。
・その証明証が正しい「認証局」から発行されているか？
・今通信しているサーバーが証明書に記載されているサーバーと一致しているか？

通信データの暗号化

SSLではデータの暗号化と復号化（暗号化されたデータを復元）するために、特別な「鍵」を用いて送受信を行います。
下記手順により行われます。

①：サーバーの管理側がユーザーに、サーバー証明書と公開鍵を提供
②：ユーザーは公開鍵を使って暗号化した共通鍵をサーバーに送付する
③：送られた共通鍵を秘密鍵で復号化する
④：これ以降、双方共に共通鍵を使ってデータの暗号化と復号化を行ってやり取りする

改ざんの検知

データを送信する際に、「ハッシュ関数」と呼ばれる内容を要約する一意の短いデータ関数を同時に送信します。
受診側がデータを受診した際にこの関数の値が変わっていた場合は、通信途中で誰かが入力データを書き換えたという事が分かる仕組みになっています。

サーバー証明書としての効力が失われている認証局

下記の認証局が発行しているSSLサーバー証明書を利用しているサイトは、ブラウザ側で証明書の効力が保証されていない状態になります。

Symantec
GeoTrust
RapidSSL
Thawte

SSLは勝手に設定して終わりではないのです。
正しい「認証局」が発行した「サーバー証明書」がないと、SSLに対応していることは証明できません。

次のセクションでは、実際のSSLの手順と、証明されなかった場合について説明します。

SSL実装に必要な手順

①SSLサーバー証明書の手配

認証レベルの強度に応じて必要となるSSLサーバー証明書が異なります。
利用目的や予算に応じたものを選びましょう。

②SSL証明書の申請・インストール・サーバー設定

サーバー証明書は購入後すぐに設定できるわけではありません。
申請元の情報を審査してもらい、その後証明書が発行され、サイトが存在するwebサーバー上で設定を行います。

③HTTPSページ内のHTTPリソースの書き換え

HTMLソースコードを確認し、「http」で記載しているURLを「https」に変更しましょう。

④CMS（WordPressや利用プラグイン）内の設定変更

CMSにより生成されるソースコードも「https」に修正する必要があります。
利用しているテーマなどの画像パスやサイトアドレスの設定をチェックし、適宜変更しましょう。

⑤サイトのHTTPS（SSL）化のテスト確認

サイトを表示した際に「https」のアドレスが表示されるかのチェックをしましょう。

⑥HTTPからHTTPSへのリダイレクト

後述する.htaccessを用いて転送設定を行います。
転送前のページの評価を引き継ぐことが可能です。

⑦サーチコンソールへの新規登録

サーチコンソールは、「http」と「https」のURLを区別して管理していますので、新しくプロパティを新規追加して登録しましょう。

.htaccessを用いたリダイレクト設定

SSL化をする際は、「http」から「https」にリダイレクトする必要があります。
「http」のサイトを閲覧できてしまうと、セキュリティの観点から問題が発生する可能性があるためです。
リダイレクトの設定は下記記事の「SSL化（http⇒https）」にまとめていますので、設定の際は参考にしてみてくださいね。

記事【説明書DL】.htaccessのリダイレクト – 書き方・設置場所・設定方法を解説します

SEOへの影響とブラウザ表示について

SSL化することで、わずかながら検索順位に影響を与えます。
しかし、SSL化していても品質の高いコンテンツがないと、上位表示はされません。
また、SSL化が完了していないwebページはアドレスバーに「保護されていない通信」と表示されてしまいます。

一方安全なサイトでは、アドレスバーに鍵マークが表示されます。
HTTPS化が完了していないwebページはブラウザ上で警告が表示されますので、クリック率に影響がありそうです。

SSL化を行ったのに警告表示される

SSLを実装しても、下記のような状態だと警告が表示されます。

・内部リンクのリンク先URLが「http」のまま
・画像やスクリプトなど、「http」サーバー内の外部ファイル使用

サイト内の全てのリンク・コンテンツは「https」であり、警告が消えない場合、「http」が残っていないか確認してみてください。

SSLに対応しないと、検索順位や検索結果の表示にも影響します。

今やSSL対応は常識になってきていて、Googleも全ページのSSL対応を推奨しています。
まだの方は、是非対応してください。

まとめ

SSL化はセキュリティはもちろん、SEOの観点からもSSL化は推奨されています。
ユーザーの不安を取り除き、安心してサイトを使ってもらうためにも、是非SSL化を行ってみてください！

また「対応方法が分からない」「自分でやるのは難しい」とお悩みの方には
実装も可能なジオコードのSEOがおすすめです！