Webサイトをhttpからhttpsへ変更するには?

このサイトは安全に接続できません

「このサイトは安全に接続できません」
「警告: 潜在的なセキュリティリスクあり」
サイトは存在しているのに、このような表示で接続できない状況を見たことはございませんか?
これは、「http」(常時SSL化)で接続されていないサイトに対し、ブラウザが表示する警告です。

 https (常時SSL化)とは?

httpsとは、インターネット上でデータを安全に送受信するための通信プロトコルです。

SSLという暗号化プロトコルを用いるため、SSL化とも呼ばれています。

なお、プロトコルとは、コンピューター同士が通信を行うための共通ルール・手順を定めた規約を指します。

 

以前は、Webサイト上でパスワードや個人情報を入力するページのみhttps化されているケースが多く見られました。

しかし、現在は「https化」という単語が「常時SSL化」を指している場合もあるほど、Webサイト全体のSSL化が一般的になっています。

 

httpとhttpsの違い

http(Hyper Text Transfer Protocol)もhttpsと同様、Webサイトの情報をサーバーと閲覧者の間でやり取りする際に使われるプロトコルです。

ただし、データが暗号化されておらず、第三者によって情報を盗まれたり改ざんされたりするリスクがあります。

そういったリスクをカバーするため、httpにSSLによる暗号化を追加して安全に通信できるようにしたのがhttpsです。

 

httpをhttpsに変更するメリット

httpをhttpsに変更すると、以下のメリットを得られます。

セキュリティの強化
  • 情報の暗号化による安全性の強化
  • WebサイトのCookie(※)情報の保護
信頼性の向上
  • URLに「https://」と表示され、暗号化されていると分かるため、
  • ユーザーが安心してWebサイトを閲覧できる
SEO効果
  • Googleの検索順位を決める要素の一つとして公表されており、
  • 「https://」表示の方がSEOの観点で有利
表示速度の向上
  • https化すると通信効率に優れた次世代のプロトコルを利用できるようになり、
  • Webサイトの表示速度が向上する

 ※Webサイトでの訪問者の行動履歴などを一時的に記録したテキストファイル

 http を https (常時SSL)に変更する準備

httpをhttpsに変更するには、十分な事前準備が欠かせません。具体的には、以下の準備が必要です。

  • SSL証明書の取得
  • SSL証明書のサーバへのインストール
  • リダイレクト設定

 本項では、httpをhttpsに変更するための準備と常時SSL化について解説します。

 

SSL証明書の取得

SSL証明書は、認証局と呼ばれるSSL証明書発行会社より購入します。

弊社では、以下のブランドを取り扱っております。

〈国際ブランド〉

  • GeoTrust(ジオトラスト)
  • RapidSSL(ラピッドSSL)
  • Sectigo/Comodo(セクティゴ/コモド)

〈国産ブランド〉

  • GlobalSign(グローバルサイン)
  • JPRS(日本レジストリサービス)

各ブランドの説明はこちらにございます:https://www.securestage.com/information/plans.php

SSL証明書の発行は、認証レベルと特徴が異なる以下の3種類があります。

種類 特徴 弊社でのプラン名
ドメイン認証(DV)

ドメイン名の利用権があれば

すぐに発行できます。
一般的なサイトは、こちらとなります。

プラン1、プラン2

プラン5、プラン6

プランC1,プランC2

プランJ1,J2

プランG1、G2

企業実在認証(OV)
EV-SSL証明書

組織の情報が表示されます。

銀行や国の機関などが利用します。

プラン3プラン4

プランG3、G4、G5

プラン7(EV)

ワイルドカード

SANS

1つのSSL証明書で

複数のドメインに対応する証明書です。

SANSは、通常のプランで

「プラン名+SANS」を選択します。

プラン6

プランC2

プラン4

プランJ2

プランG4

 

SSL証明書の種類が決まったら、以下のいずれかの方法でSSL証明書を取得します。

  • サーバー提供会社のSSL証明書サービスを利用する
  • 認証局から直接取得する。
  • 認証局の代理店に依頼する

データのバックアップ

httpからhttpsへの変更により、トラブルが発生する可能性があります。

万が一の場合に元の状態に戻せるよう、データのバックアップを取っておきましょう。

特にWebサイトをWordPressで作成している場合は、テーマやプラグインの更新も伴いトラブルが発生しやすいため、データベースやサイト内の全ファイルを保存しておきましょう。

WordPressのバージョンが古い場合は最新バージョンに更新します。

 http を https (常時SSL)に変更する手順

事前準備が済んだら、httpからhttpsへの変更を行います。手順は以下の通りです。

  • SSL証明書のインストール
  • リンクをhttps://に置き換え
  • リダイレクト設定
  • Webサイトのエラーを確認

本項では、SSL証明書が発行された後の変更手順を解説します。

 

SSL証明書のインストール

認証局からのメールでSSL証明書が送られてきたら、これをサーバーにインストールします。

インストール方法はメールに記載されている他、認証局や代理店のサポートページでも確認できます。

ただし、サーバーによってインストール方法が異なるため、注意が必要です。

SSL証明書をインストールする際は、CSRの作成時に保存した「秘密鍵」が必要になるため、作業開始前に用意しておきます。

 

サイト内のリンクをhttps://に置き換え

SSL証明書をインストールした時点で、Webサイトはhttps化されています。

ただし、サイト内のリンクはhttp://に設定されたままです。そのため、http://のリンクを全てhttps://に置き換える必要があります。

 

主な置き換え対象のリンクは以下の通りです。

  • ソースコード内のリンク(HTMLやCSSなどに記載されているリンク)
  • 内部リンク
  • 外部サイトの誘導リンク

置き換えの対象になるのは、絶対パス(完全な形で記載したURL)のリンクだけです。

絶対パスはリアルな世界の「住所」のように、インターネット上の位置を絶対的に表示しているため、置き換えなければhttps化したWebサイトへ遷移できません。

一方、相対パスやルートパスは起点からの位置を相対的に表示しており、置き換える必要はありません。

 

httpからhttpsへのリダイレクト設定

リダイレクトとは、URLにアクセスしたユーザーを自動的に別のURLに転送することです。

リダイレクト設定を行うと、http://のURLにアクセスしたユーザーを、新しいhttps://のURLへ自動で案内できるようになります。

またリダイレクトを設定することで、変更前のSEO評価が新しいhttpsのURLに引き継がれます。

 

Webサイトのエラーを確認

最後に、Webサイトのエラーが出ていないかどうかを確認しておきましょう。

これを怠ると、ユーザーにとって使いにくいサイトになってしまったり、閲覧される機会を逃してしまったりする原因になります。

 

エラーが発生した場合は、以下の点をチェックしてみましょう。

  • SSL証明書の名前がドメインと一致しているか
  • サーバーが正しく設定されているか
  • 最新バージョンのブラウザを使用しているか
  • Webサイトが古くなっていたり、安全性が保証されていないプロトコルを使っていたりしないか

 http を https (常時SSL)への変更に伴うよくあるトラブルと対処法

httpからhttpsへの変更に伴い、ユーザーがWebサイトに接続できなくなるトラブルが発生する可能性があります。

万が一トラブルが起きた場合は、新規ユーザーの獲得や購入機会の喪失などを防ぐため、早急な原因究明と対処が必要です。

よくある原因には以下の4つが挙げられます。

  • 混在コンテンツ
  • リダイレクトループ
  • ポート番号違い
  • SSL証明書の問題

本項では、これらの原因と対処法を解説します。

 

混在コンテンツ

httpからhttpsへ変更したにもかかわらず「このページの一部は安全ではありません」などと表示されたり、画像や動画が表示されなくなったりすることがあります。

これは、httpsで暗号化されたWebサイトが、httpの画像や動画などを読み込もうとしているために起こるエラーです。 

このような状態を「混在コンテンツ(Mixed Content)」といいます。

 

混在コンテンツの確認・修正方法は以下の通りです。

  • F12キーを押すか、ブラウザ上で右クリックし「検証」を選択する (Macはcommand+option+I)
  • デベロッパーツール(検証ツール)が立ち上がったら「コンソール(Console)」タブをクリック
  • コンソール内の表示から「Mixed Content:」というメッセージを探す
  • 「http://」で始まっているURLを見つけ出し「https://」に置き換える

リダイレクトループ

リダイレクトループとは、あるURLから別のURL、そしてまた別のURLへと、リダイレクト(転送)が延々と繰り返されてしまう状態です。

最終的には「このページは動作していません。リダイレクトが繰り返し行われました」といったエラー画面が表示されてしまいます。

リダイレクトループが起きてしまう場合は、次の対策を試してみましょう。

  • エラーが確認されたサイトのCookieを削除する
  • Webサイト、サーバー、プロキシ、ブラウザのキャッシュを削除する
  • リダイレクトチェックツールなどを利用して原因を確認する
  • .htaccessファイルやCMSでのリダイレクト設定を確認する
  • WordPressなどCMSを使用している場合はプラグインを無効化し、一つずつ有効化して原因になっているプラグインを探す

ポート番号違い

httpからhttpsに変更したWebサイトに接続できない場合、サーバーのポート番号が適切でない可能性があります。

通常であれば、https通信はポート443を使用しています。サーバーのポート番号設定を確認して、違うポート番号が使われていれば、443に変更しましょう。

 

SSL証明書の問題

SSL証明書には有効期限があります。この期限が切れてしまうと、エラーが表示されたり、暗号化ができなくなったりといった問題が起こります。

httpからhttpsに変更したWebサイトにエラーが起きる場合は、有効期限の確認も必要です。

またSSL証明書を発行した認証局が信頼できないとブラウザに判断された場合、接続を拒否されている可能性もあります。

 http を https (常時SSL)への変更は必須です!

近年、httpからhttpsへ変更する流れは加速しています。まだhttpsへ変更していない場合は、早めの対応をおすすめします。

httpからhttpsへの変更には「SSL証明書」が必要です。しかし、信用できない認証局のSSL証明書を使用すると、ブラウザに接続を拒否される可能性があります。

 

SecureStageが提供するのは、信頼が置ける国際ブランド、国内ブランドのSSL証明書です。以下5つのブランドを取り扱っています。

httpからhttpsへの変更を予定している方は、ぜひSecureStageの公式Webサイトをご覧ください。

SecureStage公式Webサイト:https://www.securestage.com/