2017年終盤の今、常時SSL化を急がねばならない理由<後編>

こんにちは、ファストコーディングです。

ここ数年、WEBサイトの新規立ちあげ時やリニューアルの際の
検討必須事項といえば常時SSL化（HTTPS）

全3回でお送りしているこのシリーズも今回がラスト。
最終回は、常時SSL化の導入方法についてお伝えします！

ところで常時SSLって？

ここまでSSLについて説明してきましたが、昨今話題になっているのは『常時』SSL。
『常時SSL』とは、サイト内のすべてのページをSSL化することを指します。

下記のサイトによると
国内主要企業サイトの常時SSL化（https完全対応）は2017年8月時点で約10％。

at21.jp

世界・国内主要企業 常時SSL対応調査　2017年8月版｜あとらす二十一のWEBマーケティングサービス

アメリカや、ドイツ、オランダといった欧米諸国が50%を上回っていることを考えると
日本では、まだまだ対応が追いついていないのが現状です。

海外に競合企業がある場合は、競合企業に負けないためにも
早めに常時SSL化しておいたほうがよさそうですね。

常時SSLの導入方法

導入するSSLの種類も決まって、あとは移行作業を実行するのみ！
ですが、移行作業もサイトの構成によってはなかなか大変！

以下に、常時SSL化を行う際の主な作業を上げますね。

SSLサーバ証明書の申し込み

まずは、これがないと話が進みませんよね。
証明書の認証レベルによっては、書類の提出をするなど
手間も時間もかかってきます。

ウェブサイトのソースコード最適化

SSLサーバ証明書を発行して、URLにhttpsが利用できるようになっても
ウェブサイトのソースコードで画像やcssなどをhttp://～ではじまる絶対パスで呼び出していた場合や、
内部リンクをhttp://～で始まる書き方にしていた場合は修正が必要です。

このパスの修正作業、WordperssなどのCMSを使っている場合はプラグインを使って
ある程度作業することができるので比較的ラクなのですが、
CMSを使わずに作っているサイトだと本当に大変！

1ページずつ地道にソースコードを確認しながら修正していってください。

sitemap.xmlの記述変更

あたりまえですが、すべてのページがSSL化するので
sitemap.xmlに書かれたページのURLもすべてhttpsに変更しましょう！

canonicalタグの修正or追加記述

運営しているサイトにcannonicalタグ、入れてますか？

canonicalタグは、URLの正規化するためのhtmlタグ。
内容は同じだけど異なるURLのページが複数存在するとき、
『このページが正しいから、こっちをインデックスしてね！』
と検索エンジンにお知らせするものです。

SSL化していなくても記述しておいたほうがSEO的にも良いタグなので
もし、まだ記述していない場合は、この際きちんとこのタグを記述しておきましょう。

.htaccessで301リダイレクト設定

SSLに対応したページでも、移行直後には検索エンジン経由ではhttpのサイトが検索上位に出てきたり
リンクを張ってくれている他サイトからの流入がhttpのサイトになってしまっている場合もあります。

そのため、自動でページがSSLに変更されるように.htaccessで301リダイレクトの設定をしましょう。

.htaccessでHSTS設定

301リダイレクトの設定だけでは、
http⇒httpsにリダイレクトされる途中で攻撃を受ける可能性も！

この問題は、HSTS（HTTP Strict Transport Security）の設定を
.htaccessに記述することで解決できます。

初回のアクセスがhttpでも2回目以降は
強制的にhttpsでのアクセスに切り替わる優れものです。

プリロードHSTSの設定

前述の.httaccessでHSTSの設定をしていても、まだセキュリティ的には万全じゃありません。

だって、2回目以降のアクセスはhttpsになっても、
初回のアクセスはhttpですからね＾＾；

で、これを解消するのがプリロードHSTSです。

SSL化した自分のサイトのドメインをフォームから登録しておくことで、
ChromeとFirefox、Safariの３つのブラウザからのHTTPアクセスは、初めての場合でも
HTTPSで接続できるようになります。

HSTSとプリロードHSTSについてはこちらのサイトで詳しく書かれています

株式会社LIG

 

20 Posts

17 Users

68 Pockets

あなたのサイト、実はSSL化が不十分かも？ユーザーとサービスを本当に正しく保護する方法 | バックエンドへの道

こんにちは、バックエンドエンジニアの Kaz です。 今回は Web サイトとユーザーを保護する「 SSL 」をテーマに、 正しくサイトの強制 SSL 化を行って、すべての通信、ユーザーとサービスを保護しよう というお話をします。 暗号化だけじゃない！？SSLが保護するもう一つの安全機能 まず今回のお話の大前

Search Console（ウェブマスターツール）の設定

http⇒httpsにしてしまうと別のサイト扱いになってしまうようです。
Search Consoleを開いて、新しい設定を追加しましょう。

Google Adwordsなどの広告設定

Google AdwordsやYahooリスティングに広告を出稿している場合、
広告のリンク先や表示URLを修正する必要があります。

さぁ、ここまででSSL化の設定はだいたい完了。
（個別に導入しているサービスは、別途設定変更とかしなきゃいけませんよ！）

ここで、常時SSL化の注意点がひとつ。
SSL化したURLは、すぐに検索エンジンに反映されるわけではありません。
インデックスされるのに時間もかかるし、検索順位が一時的に下がることも！

一時的に落ちたとしても、徐々に元に戻っていくはずなので焦らず待ちましょう。

参考URL

常時SSL Lab. by Zenlogicのファーストサーバ株式会社

 

18 Users

64 Pockets

Webサイト利用者やGoogleを適切にHTTPSに誘導する方法

Webサイトが常時SSL化したことを知らない利用者やGoogleを適切にHTTPSに誘導する方法をご紹介します。

ferret [フェレット]

 

285 Posts

93 Users

280 Pockets

httpからhttpsに切り替える際に見ておくべきSEOにおける14のチェックリスト｜ferret [フェレット]

Googleがhttpsをランキングシグナルに使用するという発表により、httpsに切り替える方も多くいらっしゃいます。httpsに移行するにあたっていろいろやらなければいけないことがあります。Web上にあるSEOにおけるTo Doリストは、広告周りやアクセス解析を含めて包括的なTo Doリストではありません。今回は、それらをリスト化してみました。

最後に

SSLについていろいろ書いてきましたが、説明するだけでも結構なボリューム！
もちろん、実際に作業を行うと、相当の手間がかかってしまいます。

常時SSL化をしたいけれど、手に負えない・難しすぎる・面倒だ！
そういう場合はプロに任せるのが一番。

WEB業界の最新動向や、SSLについて詳しいWEBディレクターが在籍する
FASTCODINGまでお気軽にご相談ください。