httpとhttpsの違いとは？セキュリティを確保して安全なサイト管理を行う方法

「https」とは、閲覧ユーザーのブラウザとサーバー間のやり取りなどの情報を暗号化し、セキュリティ面で安全だということを意味します。

これは以前からクレジットカードなど重要な個人情報を扱う注文フォームを置くページに必須と言える要素でしたが、昨今ではサイト全体のSSL化（https化）が標準となっていて、ほとんどのサイトがこの“https”に対応しているのではないでしょうか？

また、httpとは異なるhttpsの「s」は“Secure（安全）”といった意味合いがあり、以前の“http”のままでサイトを管理・運営していると“安全ではない”といった警告が表示されることによって閲覧ユーザーの離脱にも繋がるため、信頼性を担保する重要な役割も担っています。

つまりhttpsとはSSL化するという意味でもあり、SSLサーバー証明書なども必要となり、サイトが安全に閲覧できるという安心感をユーザーに与えることができるため、今後のサイト管理・運営には必須とも言える要素です。

特に最近では気軽にスマホからも商品を購入できるため、少しでも危険性のあるページだとユーザーはカード番号を入力すること自体躊躇しますし、そもそもコンバージョンにも影響する重要な要素と言えます。

では今回は、httpsの詳しい意味やSEOに与える影響、https化のメリット・デメリットについて詳しくご説明していきたいと思います。

httpsとは？

“https”とはサイト全体をSSL化（https化）することでユーザーとの重要なやり取り（情報）が暗号化され、サイトのセキュリティが安全であることを意味し、アドレスバーには以下のように表示されます。

そしてこれまで使用されてきた“http（Hyper Text Transfer Protocol）”に「s（安全を意味するSecureの頭文字）」が加えられたことによって“https”となり、これは常時SSL化されている証拠でもあり、ブラウザ上部のアドレスバーにも“安全ではない”といった警告が表示されないため、閲覧ユーザーは安心して購入やお問い合わせフォームなどに個人情報を入力できるというわけです。

これは2015年からウィキペディアがhttps化を導入しはじめ、続いてTwitterやFacebook、さらにYahooやGoogleなどの大手サイトが軒並みhttps化し、下記の通りGoogle検索結果に表示されるサイトの70％以上がSSL化したURL（https://～）であり、MOZCASTのデータでも78.2％のサイトがSSL化していることがわかります。（2018年2月15日時点）

ただし、https化するためにはSSLサーバー証明書が必要となり、ドメインの所在や企業が本当に実在しているのか？などサイトが安全かどうかを第3者となる認証局が証明します。（実際に証明書が発行されるのは電子証明書で、それがデータのやり取りを暗号化しています。）

また、この証明書はURLの左に表示されている鍵のアイコンをクリックすることによって誰でも見ることができ、https化しているからといって100%安全とは言い切れないケースもありますので、不安な場合はこちらからどういった内容の認証を受けているのかチェックしてみると良いでしょう。

httpとの違いについて

従来使用されていた“http”との違いに関しては、上記の通りSSL化しているかどうかといったブラウザとサーバー間の情報を暗号化する・しないの違いだけですが、その違いは非常に大きく、悪意のある第3者からデータの漏洩や改ざんを防ぐことができます。

そのため、未だに“http”の状態で運営されているページに個人情報を入力するのは危険です。例えばChromeで安全ではないサイトにアクセスすると以下のような警告が表示されるので個人情報を入力するようなページを閲覧する際は特にチェックしておきましょう。

これを“http”の末尾に「s」が付くか付かないかだけで表示しているわけですが、通信規格であるプロトコルが厳密に言うと全く異なるため、セキュリティ面を考慮すると常時SSL化された状態を意味する“https”の方が断然安心してデータのやり取りができるということです。

また、最近ではWebを通して物を購入する機会も以前よりも多くなり、その手段もPCよりもスマホからというケースも少なくないため、こういったhttps化でサイトを管理・運営していくことは必須とも言える要素のひとつで、検索順位には直接関係ありませんが、安心して個人情報を入力できるような信頼されるブランディングを考慮してぜひ導入しておきましょう。

ちなみにGoogleは、2018年7月にリリースされたChrome68を利用してSSL化されていないサイトを表示した際に「Not secure(保護されていない通信)」とラベル表示することを発表しており、これは限定的だったラベル表示を全面的に展開するということを意味します。

上位表示させるための基本的対策をご紹介しています。

httpsのメリット

“https”の導入によるメリットには以下のような項目が考えられます。

• 盗聴やパケット改ざん、なりすましの防止
• 重要な情報の漏洩を防ぐ
• 警告が表示されないためサイトの信頼度が上がる

このように“https”で管理することによってサイト内でのCookieを含めたすべての情報を暗号化し、第3者からはデータを読み込むことが困難になり、パケットの改ざん・なりすましの防止に繋がります。

つまり訪問ユーザーにとってセキュリティが高いということはサイトの信頼度向上にも影響します。そして使用するSSLサーバー証明書も複数存在しますので、サイトの規模などを考慮した上で選ぶと良いでしょう。（簡易的なSSLから承認されるまで厳しい条件があるといった特に安心できるSSLなど3種類存在します。）

一方で、デメリットとして考えられるのは…

• httpとhttpsは別サイト扱いとなる（重複に注意）
• アナリティクスやサーチコンソールの設定変更・再登録が必要
• ソーシャルボタンのカウントがリセットされる
• https化の移行中は一時的に検索トラフィックが落ちる可能性がある

といったサイト管理者にとっての項目のみとなっていて、閲覧ユーザーにとってのデメリットは一切ありません。むしろ“https化”していない状態だと“保護されていない通信”といった警告が表示されることでユーザーに敬遠されるのは安易に予想できますので、対応してないサイトは慎重にhttps化（常時SSL化）を検討する必要があります。

検索順位への影響

続いて“https化”にしたからと言っても検索順位には大きく影響しません。
まず2014年に、httpsをランキングシグナルに使用することをGoogleが以下のように言及したことでSEOで優遇されることが明確になりましたが、その影響は下記を参考にしてもごく僅かなもので、ほとんどのサイトがこれからhttps化を導入するとなると競合との差別化を図ることもできませんので、SEOを考慮してのSSL化という考え方は止めておきましょう。

Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。

このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。全体的に見ると、このシグナルは良質なコンテンツであるといった、その他のシグナルほどウェイトは大きくありません。HTTPS は、優れたユーザー エクスペリエンスを生み出す多くの要素のうちの 1 つです。

この辺りに関しては、SSL化してもサイトの内容が充実していないと当然上位表示は期待できません。基本は検索エンジンなのでユーザーが何を知りたがっているのか？解決したいのか？そういった検索クエリに対する答えをしっかりとコンテンツ化しなければ評価されることもないので、小手先の対策ではなく基本を抑えた対策に注力するべきです。

そのため、このhttpsを利用したサイト管理・運用はユーザビリティを考慮した要素とも言え、安心・安全にサイトを活用してもらうために必要なセキュリティを確保するためのものと考えると良いかもしれません。（SSL化させるには正しい手順が必要となりますので、事前にしっかりと確認してから行うようにしてください。）

証明書の確認方法

このhttpsを意味するSSLサーバー証明書を確認するには、アドレスバーのURL左に表示されている鍵マークをクリックすると、下記のようなウィンドウが表示されます。
※Chromeの場合を想定しています。

すると、“この接続は保護されています”と表示され、https化（SSL化）された状態であることが確認でき、さらに“証明書”をクリックすると詳細をチェックすることも可能です。

そして、上記の通り“証明書”をクリックすると以下のようなウィンドウが開き、“サブジェクト名”に記載されているのが認証されているドメインを意味し、他にも認証局や有効期限なんかも記載されていることがわかります。

ちなみにhttps化するには上記の通りSSLサーバー証明書が必須となり、その中には「ドメイン認証（DV）」「企業認証（OV）」「EV認証（EV）」の3種類があり、それぞれ安全性が異なり、主に簡易的でほぼ無料で導入できる“ドメイン認証”を利用している方が多いかと思いますが、扱う商品や企業規模などを考慮して決めると良いでしょう。（それぞれ期限があるので更新に注意です。）

まず“ドメイン認証（DV）”とは、ドメインの所有名義を認証するだけで簡単に証明書が発行され、認証局“Let’s Encrypt”をはじめ個人でも取得可能・無料で取得できるものがほとんどなので多くのサイトが導入しているかと思われます。そのため、実在している企業なのかどうかを実際に確かめるわけでもありませんのでセキュリティ性とは別で信頼性としては低いサーバー証明書となります。

続いての企業認証（OV）は、上記のドメイン認証以外にも管理する企業が実在するのかどうかのチェックも行いますので、架空の企業をなりすまして運営するhttpsを防ぐことにもつながり、より信頼性の高いSSLサーバー証明書と言えるでしょう。

そして最も審査が厳しい証明書となるのが“EV認証（EV）”というもので、こちらを利用することによってアドレスバーには認証された組織情報が詳細に記載されます。

これらを考慮すると、httpsだからといって必ずしも安全ではないということがわかるかと思われます。というのも、一番簡単に証明書が取得できるドメイン認証だと架空の企業を装って偽サイトを公開している可能性があるからです。

そのため、詐欺サイトに引っかからないためには以下のような注意が必要となります。

• 通常よりも遙かに安い商品を扱っていないか？
• 名の知れたサイトかどうか？
• サイト名+口コミなどで検索してみる
• 連絡先が携帯電話かどうか？
• SSLサーバー証明書を確認する

このように最近では大手サイトをそのままコピーして公開し、個人情報を抜き取るといった危険なケースや、明らかに値段が安い商品を販売しているサイトも数多く存在します。

こういったサイトで被害に遭わないためにも、少しでも怪しいと思ったら上記のような項目をチェックし、さらにSSLサーバー証明書に記載されている企業なども併せて確認してみると良いでしょう。

つまりhttpsは暗号化することによって情報を守ることはできても、悪意のある第3者が運営しているサイトであれば全く意味をなさないということですので、初めて購入する通販サイトなどの場合、しっかりとした企業が運営しているのか？実在しているのか？といった内容も確認するべきです。

まとめ

今回はブラウザとサーバー間での重要な情報を暗号化することを意味する“https”について意味や確認方法などを詳しくご説明しました。

上記の通り昨今のサイト運営には“https”が不可欠ですが、決してhttpsからはじまるURLだからといって安全が保証されているわけではありません。カード番号などの重要な個人情報を盗まれないためにもSSLサーバー証明書だけでなく、色々とチェックしてみるのも大切です。

また、異常なほど安い価格設定のサイトも注意が必要で、そういった場合はサイト名+口コミなどでも検索してみて評判もチェックしたり、なるべく高額の商品は信頼できる大手サイトで購入する方が良いでしょう。

カード番号などの重要な個人情報が悪意のある第3者に流出するだけでなく、商品も届かない・実在しない企業というケースも可能性としては0ではありませんので、正しくhttps化によってサイト管理することが重要となります。

サイト運営者側もユーザーに信頼してもらえるようなブランディングやサイト名の認知、そして正しいhttpsによって運営・管理することが大切です。