ブロガーのためのHTTPS（SSL証明書）入門

Google検索結果のランキングにブログがHTTPSされているかを考慮するようになり、このブログもHTTPSに対応しました。（Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します）

HTTPSとはデータを暗号化し、安全に通信する技術で、個人情報やクレジットカード情報など、第三者に見られたくない情報のやりとりに使われます。

Googleは「Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します」にて、HTTPSであるかないかはクエリの1%未満にしか影響がないと公言していますが、長い期間をかけて強化していくとも書かれています。

重要度は「良質なコンテンツであるか」などのシグナルより大きくないようですが、HTTPS導入を検討する余地はあります。

ブログにHTTPS導入と、導入する際のメリット、デメリット、注意点などをまとめました。

HTTPSを導入

HTTPSを導入するにはSSL証明書を入手し、自分のサーバに設定する必要があります。

SSLとはインターネット通信を暗号化する技術のこと。

一般的に使われるHTTPは暗号化されずに通信しているが、HTTPSはSSLを使用し、暗号化した状態で通信できるようになります。

SSL証明書の取得

SSL証明書を取得するには、独自ドメインを取得するように、証明書を発行する第三者機関から取得する必要があります。

取得にはお金がかかり、金額も千円程度〜10万前後と幅があります。

SSL証明書は、SSLボックス

などで購入できます。

しかし、最近では「Let's Encrypt」という無料でSSL証明書を発行する機関も現れました。

発行されるSSL証明書はDV証明書（後述）で、ECサイトなどの個人情報を扱うサービスには向きませんが、ブログの暗号化には十分です。

SSL証明書の値段の違い

SSL証明書は大きく分けてEV、OV、DV証明書の3種類があり、運営者の身元確認をより厳格に身元を証明するものは高く、確認が簡単なものは安くなります。

EV証明書

発行にはサイトを運営している企業が本当に実在するのかを、電話・書類などで厳格にチェックされる。最も信用度の高い証明書で値段も高い。

EV証明書が発行されているサイトにアクセスすると、アドレスバーの左に緑色で企業名が表示され、今アクセスしているサイトがその企業であることをひと目で証明してくれる。

OV証明書

運営企業の身元確認を電話やメールなど、EV証明書よりゆるい手段で発行される。見た目はEV証明書のようにひと目で分かるものではなく、DV証明書と同じ鍵マークがアドレスバー左に付く。

価格は普通（ブロガーからしたら十分高いが…）。

DV証明書

身元確認が一番ゆるく、メールでドメインの使用権があることを確認するだけで発行される。そのため身元を証明するには不十分。

身元を証明する必要はあまりないが、HTTPSで暗号化したい場合に使用される。価格も一番安い。

基本的に情報が一方通行のブログならDV証明書で十分だと思われる。

先程紹介した「Let's Encrypt」はこの証明書を発行する。

発行会社による違い

SSL証明書を発行する企業は「GeoTrust」、「シマンテック（旧日本ベリサイン）」、「COMODO」など様々な企業が発行しています。

SSLの仕組み自体は変わらないため、どの会社でも違いはほとんどありません。

購入する際はそれらの企業から直接購入してもよいが、「SSLボックス
」などの再販会社から購入する方法があります。再販会社のほうが安い場合もあり、同じSSLでも再販会社によって料金も違うので比較することで安く購入することができます。

SSL証明書の選び方

仕組みによる違いはほとんど無いため、料金や会社の知名度、サポートの違いなどを考慮して選ぶのが良いです。

知名度

サイトに訪れる人がよく知っている会社のSSLを使うことで安心感を与えることができる。これは料金にも反映されていて、知名度の高い会社のSSLは値段が高い傾向にある。

サポートによる違い

SSL証明書導入の代行をしてくれたり、電話サポート時間・質の充実など証明書発行以外の部分で自分に必要なサポートがあるか。

SSL証明書をサーバに設定

SSL証明書を取得したら、サーバにアップロードしHTTPSが有効になる設定をする。これは使っているサーバによって変わってくるので、ある程度のサーバの知識が必要になります。

独自SSL証明が使えないサーバもあるので購入前に確認することも重要です。

僕は3回ほどサーバにSSL証明書を設定しました。

最初は有料のSSL証明書を使い自分で設置と設定をしました。メッチャ苦労しましたorz
関連：「nginx ＋ WordPressでSSL（HTTPS）を設定する方法」

次は、AWSで「AMIMOTO」を使ってWordPress環境を構築し、「Let's Encrypt」でHTTPS対応しました。こちらは情報が少なくエラーも分かりにくくかなり苦戦しましたが、分かってしまえば簡単に設定できます。
関連：「【AWS】AMIMOTO(HTTP/2)でLet’s Encryptを使い無料SSL証明を取得して設定する方法」

3つ目は、AWSで「KUSANAGI」を使ってWordPress環境を構築し、「Let's Encrypt」でHTTPS対応しました。2016年2月8日にリリースされたバージョン7.8でLet’s Encryptが導入され、簡単にHTTPS環境が作れるようになりました。設定方法は後日記事にします。

現在（2016年2月）はこの環境で経験知を動作させています。

HTTPSのメリット・デメリット

HTTPSを導入するにあたって、メリット・デメリットがありますので紹介します。

メリット

Google検索ランキングで優位になる

検索エンジンのアルゴリズムについてほとんど公にしないGoogleが、検索順位に影響があると公言している。但し、ウェイトはあまり大きくないようなので、必ず導入すべきとは言い切れない。

ユーザーに安心感

通信が暗号化されていることでユーザーに安心してブログを訪れてもらうことができる。

HTTP/2を使える

HTTPSに対応することで、現在主流のHTTP/1.1より高速で通信できるHTTP/2が使えるようになる。

ページの表示スピードもGoogleは重視しているので、検査順位に良い影響を与える。

デメリット

デメリットの紹介。大きな注意点があるのでデメリットをしっかり理解する必要があります。

年間の費用がかかる

ブログを運営にかかる月々のサーバ代、年間のドメイン代に加えて年数千円の費用がかかる。

ただし、Let's Encryptを使えば無料で取得できる。

ブログ内のURLを全てhttpsにする必要がある

ページに表示される画像のURLや内部・外部URL全てが「https」で始まらないとアドレスバーの鍵マークに黄色い三角の注意マークが表示されてしまう。

せっかくの安心の鍵マークが、注意マーク表示で台無しになる。

画像のURLに関しては相対パス

<img src="/img/logo.jpg">

で表示させたり「http:」を外したURL

<img src="//i1.wp.com/img/logo.jpg">

を使うことで「http」の場合も「https」の場合も注意マーク無しで表示させることができる。

内部URLも「//」から書くことで「http」「https」両方に対応できる。

解決策としてサーバ設定で「http」アクセスを「https」でアクセスする方法もある。
参考：HTTPS対応したサイトで外部HTTP画像を警告無く表示させる方法

外部URLが貼りにくい

上記内容と被るが、紹介・引用したいサイトが「https」に対応していないと鍵マークに注意が表示されてしまうので、リンクを貼るのに一考する必要がある。

広告を貼る際も注意が必要で、大手のサービスは「https」に対応している場合が多いが、個別の案件などでリンク先が対応していない場合がある。

対応に変化の兆しも

HTTPとHTTPSの混在コンテンツの注意マーク表示はゆるくなる兆しも見えてきている。Chromeでは混在コンテンツでも警告マークを表示せず、鍵マーク表示がなくなる対応をしている。
参考：「「Chrome 46」、HTTPS「混在コンテンツ」の警告を変更 – CNET Japan」
実際に見てみると、PC版のChrome、Sarari、IE、iPhone版のSafariとChromeでは、アドレスバーにそれ程気になる表示にはなっていない。

混在コンテンツでないページはしっかり鍵マークが表示され、
通常の鍵マークページ：「経験知」
混在コンテンツだとユーザに不安を与えない表示になっている（今見ているこのページが混在コンテンツになっている）。

ただし、Firefoxでは鍵マークに注意マークが表示されて、見た目が不安になってしまう。

この辺はブラウザの対応次第だが、混在コンテンツによるデメリットはあまり気にしなくて良いような気がする。

ソーシャルカウントが0になる

TwitterやFacebookのいいね、はてブなどのカウントはURLごとにカウントされているので、「http」から「https」にすると別のURLと認識されるため、せっかくついたカウントが0になってしまう。

↓

リファラが送られない

HTTPSのサイトからHTTPのサイトへリンクを貼るとリファラが送られない。これによりアフィリエイトなどの成果報酬確認画面で、その売上がどのページで上がったのかがわからなくなる。

metaタグでこのようにすればリファラを送ることができるが、対応していないブラウザもあるので完璧ではない。

<meta name="referrer" content="unsafe-url">

AdSenseの収益が下がる可能性

HTTPSに対応すると、HTTPにしか対応していない広告主の広告が表示されなくなる。これによって収益が下がる可能性がある。

参考：「SSL 対応の AdSense 用広告コード - AdSense ヘルプ」

移行の労力が大きい

既にブログを運営している場合、稼働中のブログで作業する必要があるので、設定を失敗すると表示されなくなったり、リンクエラーや画像が表示されない事態が起こる可能性もある。

記事内の「https」への変更や、「https」に対応していない外部リンクの対応など、記事数が多いほど確認に手間がかかる。

リダイレクトも301でしっかり行わないと今までの評価が無くなってしまう。

食べログが表示されない

使いたいサービスがHTTPSに対応していないと期待通りの動作をしない場合がある。
関連：「ブログをHTTPSに対応すると、食べログのブログパーツが表示されない | 経験知」

まとめ

HTTPS化はGoogle検索結果のランキングに影響があるので、新しくブログを立ち上げ、そのブログで頑張る意志があるのなら立ち上げの際に導入する価値はあります。

むしろ後々HTTPSへ移行する労力を考えると立ち上げ時に導入しておいた方が遥かに楽なので初期導入をおすすめします。

しかし、既に運用しているブログに導入するにはかなりの覚悟が必要で、それに見合った見返りがあるかというと微妙なところ。

その労力で1つでも良い記事を書いた方が検索に優位になります。

現状は移行のハードルがかなり高いですが、今後そのハードルは下がるはずなので、簡単に移行できる環境がでてきてから移行するのがベストだと思います。

HTTPSの移行を検討すべきことは、

・デメリットを理解し、HTTPSが自分のブログに本当に必要か考える。
・自分の使っているサーバが独自SSLを使えるか確認する。
・自分でHTTPSの設定をできるか確認する。

ということです。

おわりに

このブログ「経験知」はPV増加によりサーバ移転を考えていました。そのついでということでHTTPS化することにし、2016年2月10日からHTTPS運用をはじめています。

恩恵はまだ感じられていませんが、ひとつの大仕事をした満足感はあります。

数年後には必須になるかもしれないHTTPS化ですので、アンテナをしっかり貼って流れを読み、適切なタイミングでHTTPS化を進めたいですね。