https化の移行時にやるべき6つのこと – 常時SSLに向けてのhttps移行方法
常時SSL化に向けたhttpsへの移行が、今後のサイト運用においてとても重要になってきました。今までは個人情報などを取扱うようなショッピングサイトなどにhttpsが導入され、通常の情報閲覧サイトではhttpを利用するのが主流でした。
しかしながら、ネットの普及が拡大すると共に、ネットワーク犯罪が増え始めた現在では、もはや全てのサイトの閲覧に対してセキュリティを考慮したhttpsの利用が推奨されています。
今回はhttpとhttpsの違いや、常時SSL化とは何かを知り、httpsへの移行方法(移行時にやるべき6つのこと)を紹介します。
- 目次 -
httpとhttpsの違い
httpとhttpsの違いは主に暗号化によるセキュリティ対策があるかどうかの違いとなります。httpは通信中のやり取りをそのまま行うのに対して、httpsは通信中のやり取りを暗号化した状態で行います。
なお、それぞれの詳細については以下のとおりです。
HTTP(Hyper Text Transfer Protocol)
HTTPはHyper Text Transfer Protocolの略で、主にホームページを見るときに利用する通信ルールです。この通信ルールを基に、自分のパソコンやスマートフォンなどの端末からネットワーク上で公開されているホームページに対してアクセスすることが可能になります。
ホームページのURLが「http://」から始まるサイトはHTTPを利用したサイトになります。
HTTPS(Hyper Text Transfer Protocol Secure)
HTTPSはHypertext Transfer Protocol Secureの略で、上記のHTTPに対してSecureを表す「S」が追加された通信ルールになります。SSLと呼ばれる暗号化通信手段を利用することにより、ホームページにアクセスすることに加えて、通信内容を暗号化しながらネットワーク上のホームページとやりとりを行うことができます。
また、HTTPSを利用した通信は暗号化することに加え、「証明書(SSLサーバ証明書)」を利用することで通信相手が誰(どこの機関)なのかを確認することができ、サイトの成りすましなどを防ぐことができます。
ホームページのURLが「https://」から始まるサイトはHTTPSを利用したセキュリティを考慮したサイトになります。
常時SSLとは
常時SSLとはサイト内全てのページでhttpではなくhttpsを利用することで全てのやり取りを暗号化することを意味しています。冒頭にもありましたが、現在では通信中の内容の中に、個人情報のような暗号化すべき情報があるかどうかにかかわらず、すべてのサイト内のページのやり取りを暗号化し、httpsを利用することが推奨されています。
昔はhttpとhttpsを使い分けて利用されていましたが、現在では常時SSLのように全てのやり取りをhttpsで行う流れが主流になってきています。
httpsを利用する際のメリットとデメリット
httpsの方が暗号化されているから良いというのはもちろんではありますが、httpを利用しているサイトをhttpsに移行する際はメリットとデメリットがあります。
httpからhttpsに移行するメリット
- サイトにアクセスしている時にやり取りされる情報が暗号化され、セキュリティが機能している状態でサイトを利用できます。利用者がより安心してサイトを閲覧することができ、サイトの品質向上や顧客満足度に繋がります。
- httpのサイトよりも、httpsのサイトのほうがGoogleの検索エンジンに対して優位になります。(Googleが公表済み)
httpからhttpsに移行するデメリット
- httpsを利用する際は証明書を第三者機関に発行してもらうため、基本的には費用がかかります。無料で提供しているところもありますが、無料で提供される証明書は利用しやすい背景から、フィッシングサイトや詐欺サイトなどでも悪用しやすいことから、有料でも確かな証明先を利用することが望まれています。
- 移行作業をするには後述するいくつかの対応が必要となり時間と手間がかかります。
- 正しく移行できなければ、サイトにアクセスできなくなったり、今まで成長させてきたアクセス数やドメインパワーに影響を与える可能性・リスクがあります。移行作業については慎重に行う必要があります。
httpsへの移行方法 – 移行時にやるべき6つのこと
No1. SSL証明書の導入
これによりSSL暗号化通信がおこなえるようになり、「https://サイトのドメイン」で自サイトに通信が暗号化された状態でアクセスできるようになります。
SSL証明書の導入は利用しているサーバーホスティング会社によってやり方が異なっていますので、利用しているレンタルサーバー屋さんのホームページや問い合わせなどを利用して導入してください。利用しているプランによっては内容に含まれていて無料だったり、含まれておらず有料だったりもしますので必ずご確認ください。
No2. httpからhttpsへのリダイレクト
httpsでアクセスできるようになったとしても、何も対応しなければ今までどおりhttpを利用してサイトにアクセスされてしまいます。検索エンジンなどで自分のサイトを検索して1度アクセスしてみると、http経由でアクセスしてしまうことがわかると思います。
サイトにhttpsでアクセスできるようになった後は、httpを利用してサイトにアクセスされた場合はhttpsのサイトを利用するようにリダイレクトさせるよう設定する必要があります。
リダイレクトする方法はいくつかありますが、一般的によく利用される方法は「.htaccess」というファイルにリダイレクトする記述を加える方法です。
.htaccessはサーバを制御するファイルで、主に自サイトのルート直下にアップして利用されるファイルです。
.htaccessファイルに対して以下のようにhttpsへのリダイレクトがおこなわれるようRewriteCondとRewriteRuleを記載します。
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] </IfModule>
RewriteCondでhttpsじゃない場合というCondition(条件)を指定しており、RewriteRuleで条件時の適用されるルールとしてhttpsにリダイレクトすることを記載しています。
No3. サイト内で利用しているhttpリンクや参照を更新する
httpsにリダイレクトされるようになれば、最低限の動きは出来ているのですが、httpsの通信をするにあたり、変更しなければならない点があります。
変更しなければならない点は、ページ内においてリンクや外部ファイルの参照などにおいてhttpを使っている部分です。
まずはリンクや外部ファイル参照のURLをhttpsに変更して利用可能かどうか確認します。httpsにしても読み込めるようであればhttpsに変更するだけでOKです。もしhttpsにすることでリンクが開かなかったり、外部ファイルが利用できない場合は、それらを利用しないようにサイトを修正します。
サイト内で利用している全ての「http://」が「https://」に書き換えられるか、削除されればhttps化が完了します。
サイトが大きいほど大変な作業になります。テキストエディタの置換ツールなどを使って上手にまとめて一括で変換しましょう。
No4. Google Search Consoleの設定を作り直す
※Google Search Consoleを利用されていない場合、対応不要です。
サイト側がすべてhttpsで利用できるようになり準備が完了したら、次にGoogleのSearch Consoleの設定を作り直します。SearchConsoleではhttpとhttpsで別物のサイトとして判断されます。そのため、https用の新しい設定を追加します。
SearchConsoleのホーム画面からプロパティを追加を押下します。
新規登録するサイトのURL入力欄が表示されるので「https://」から始まるURLを記入し追加を押下します。
追加を押下すると、サイトの所有者かどうか確認が求められます。お好きな方法で確認してください。下記のように別の方法タブも利用すると楽かもしれません。
httpsのサイトが登録後、SearchConsoleの画面で今まで利用していたhttpの設定と、新たに設定したhttpsの設定が2つ表示されていればOKです。
なお、新しいhttpsの設定においても、以下を新たに行いましょう。全てSearchConsoleのサイドメニューから利用することができます。
- https経由でサイトマップ(sitemap.xml)の送信
- https経由のFetch as Googleによるサイト更新の通知
- https経由のrobots.txtの読み込み確認
No5. Google Analyticsの設定を変更
※Google Analyticsを利用されていない場合、対応不要です。
Google Analyticsを利用していた場合、サイトのアドレスがhttpに設定されているため、httpsに設定を変更します。
GoogleAnalyticsのホーム画面の左下にある「管理」を押下します。
プロパティ設定を変更したいのでプロパティ設定を押下します。
プロパティ設定で設定されているデフォルトのURLの黄色塗り部分がhttpになっているのでhttpsに変更し、1度保存を押します。
SearchConsoleを利用している場合、Search Consoleも先ほどhttpsの新しい別設定を用意したので新しいhttps設定と連携しなおします。
※SearchConsoleとGoogleAnalyticsを連携していない場合は対応不要です。
デフォルトのURLの項目と保存ボタンの間に「Search Consoleを調整」というボタンがあるので押下します。
現在連携されているhttpのSearchConsole設定が適用されているので「削除」を押下します。※削除は「連携を削除するだけ」で、特にプロパティ設定などが削除されるわけではないのでご安心ください。
関連付けの削除を確認されますのでOKを押下します。
削除後はもう一度「Search Consoleを調整」を押し、次は新しいhttpsのSearchConsoleの設定を連携させます。
※私が対応したときは、httpの連携削除後に再度SearchConsoleを調整を試みると、まだhttpが連携されているように表示され、リアルタイムでhttpの連携削除結果が表示されてませんでした。しかしながら、この場合は再び連携削除用の削除ボタンを押下すると、連携が既に削除されており、新しい連携先を設定できる画面が表示されるので新たなhttpsの設定を連携することが可能でした。
最終的に以下のようにSearchConsoleの設定において、以下のようになればOKです。
- httpの設定がGoogleアナリティクスとリンクが解除されている
- httpsの設定がGoogleアナリティクスと関連付けられるようになっている
No6. 移行後の経過観察
httpsへの移行が完了した後は、しばらく経過観察が必要です。Google AnalyticsやSearch Consoleを利用してサイトへのアクセス数の増減に問題がないか確認したり、正常にGoogleの検索エンジンにhttpsのサイトとして認識されているかなどを確認してください。何かのエラーやアクセスがされなくなったなどの影響が出れば、すぐに対応できるようにしておきましょう。
httpsへの移行を行い常時SSL化したサイトで安全にサイト運用を行おう
httpsを利用することは、サイト運営者にとっても、利用者にとってもより安全・安心に利用できることに繋がります。サイトの管理者は常に時代の流れに柔軟に対応しながらサイトを運用するよう心がけましょう。