この記事はAhrefs公式ブログの日本語訳です。
原文:What is HTTPS? Everything You Need to Know
(著者:Michal Pecánek, Joshua Hardwick/ 原文の最終更新日:July 16, 2020)
※フルスピード註:この記事は2020年7月16日時点の記載をもとに翻訳しています。Ahrefs公式ブログの記事は今後追記・再公開されることがありますことをご了承ください。
ハイパーテキスト・トランスファー・プロトコル・セキュア(HTTPS)は、ワールド・ワイド・ウェブ上でのデータ転送に使われる主要プロトコルである、HTTPの暗号化バージョンのことです。
HTTPSは、ブラウザとサーバ間の通信が攻撃者に傍受されたり改ざんされたりするのを防ぎます。これにより、今日のWWWトラフィックの大部分に機密性、完全性、および認証が提供されます。
アドレスバーに鍵のアイコンが表示されているウェブサイトは、HTTPSを使用しています。
テクニカルSEOは初めてですか?
この記事では、下記を学べます。
HTTPとHTTPS:基本を理解する
まず、攻撃者がいる場合のクライアント(ブラウザー)とサーバー間の通信を、簡単に説明しましょう。
攻撃者は、ログインや支払いなどの機密データを盗んだり、要求されたリソースに悪意のあるコードを仕込んだりすることができます。
このような攻撃の可能性は、信頼性の低いルーターやISPが存在する場合にはどこでも起こりうるのです。そのため、公衆WiFiネットワークも攻撃に対して脆弱です。幸いなことに、一般の人々はこの事実に気付き、VPNの利用が増えています。
しかし、ウェブマスターには、全ての人々のブラウジング体験を安全にする責任がありますし、実際そうであるべきです。
そのために登場するのが、HTTPSの採用です。
HTTPSはHTTPリクエストとレスポンスを暗号化するため、傍受した攻撃者はクレジットカード情報などではなく、ランダムな文字しか見ることができません。
HTTPSの働きを例えるなら、破壊不可能な鍵のかかった暗証ボックスに貴重品を入れて送ることに似ています。送信側と受信側だけがその鍵の組み合わせを知っており、攻撃者がそれを手に入れても、中に入ることは不可能です。
そして、HTTPS接続が確立されると、いくつかのことが起こります。主に、HTTPSは接続の保護にTLS(Transfer Layer Security)暗号化を使用しています。
TLS証明書の仕組み
ウェブサイトでHTTPSを有効にするための唯一の方法は、TLS証明書を入手し、それをサーバーに設定することです。SSL証明書やSSL/TLS証明書とも呼ばれることがありますが、どれも同じものですのでご心配なく。SSLは技術的にはその後継であるTLSを使用していますが、今でもよく使われる用語です。
TLS証明書は、認証局(CA)によって発行されます。CAの役割は、クライアントとサーバーの関係で信頼できる第三者となることです。基本的に、だれでもTLS証明書を発行することはできますが、ブラウザが認識するのは一般的に公に信頼されているCAだけです。
ウェブブラウザのアドレスバーにある鍵のアイコンをクリックすれば、すべてのウェブサイトのTLS証明書とその発行元CAを確認できます。
証明書をクリックすれば詳細を見ることができます。ここで重要なのは、「発行先: 」という行です。これはTLS証明書の異なる検証基準を示し、主に無料証明書と有料証明書を区別する役割を果たします。
DV、OV、EV:意味と選ぶべき証明書は?
ホスティングプランやCDNプランに付属する無料のTLS証明書は、無料のTLS証明書は、ドメインバリデーション(DV)だけを行います。これは、証明書の所有者が指定されたドメイン名を管理していることを確認するものです。この基本的な検証は、機密情報を扱わないブログやウェブサイトには十分ですが、機密情報を扱うウェブサイトには適していません。
DV TLS証明書を使用しているウェブサイトは安全に見えますが、ロックアイコンをクリックしても「発行先:」という情報は表示されません。
最も一般的なDV TLS証明書はLet’s Encryptという非営利のCAから発行されています。自動更新のTLS証明書を無料で提供している会社のほとんどがこれを使っています。
結局のところ、DVのみの証明書は、大規模で自動的に発行できる唯一のタイプのTLS証明書なのです。しかし、HTTPSは、あなたが話しているサーバーを認証する基礎となる証明書と同じ強さしかありません。
ログインや支払いを許可するウェブサイトの場合、組織検証(OV)または拡張検証(EV)を提供するTLS証明書に投資する必要があります。この2つのタイプは検証プロセスが異なり、EVの方がより厳格です。
1つだけ購入するのであれば、EV TLS証明書をそのまま購入することをお勧めします。最も信頼できるもので、OVよりそれほど高くないです。
ワイルドカードおよびSAN TLS証明書
バリデーションの基準については置いておいて、TLS証明書の別のタイプについて話しましょう。
ワイルドカード証明書とSAN証明書は、複数の(サブ)ドメインを同時に保護するために使用されます。例えば、example.comのために標準のEV TLS証明書を購入した場合、blog.example.comに別の証明書が必要になるかもしれません。
ワイルドカード証明書は、無制限のサブドメイン(例: example.com、blog.example.com、docs.example.com)を保護できます。一方、SAN証明書は、他のドメインも保護できます(例: example.com、blog.example.com、different.org)。
これらのタイプは、バリデーションの種類と組み合わせて使われるため、認証局(CA)が提供するオプションを見ると、さまざまな組み合わせが表示されます。また、バリデーションのプロセスも案内されます。
HTTPSがSEOにどのように役立つか
HTTPSには、ほとんどの場合でSEOに良い影響を与えます:
- 軽量ランキング要因
- セキュリティとプライバシーの向上
- 紹介データの保存
- セキュリティとサイトスピードを向上させる最新プロトコルの使用が可能
軽量ランキングシグナル
Googleは2014年に、HTTPSは軽いランキング要因であると発表した。他のランキング要因が同じ場合、HTTPSが急激なランキング上昇をもたらすわけではなく、むしろランキングを向上させる小さな要素の一つだと言えます。
これは基本的に、HTTPSの世界的な普及を加速させるためのGoogleの貢献です。
セキュリティとプライバシーの向上
これについてはすでに話しました。しかし、これはSEOとどのように関係しているのだろうか?
安全でないウェブサイトにアクセスすると、このように表示されます:
これでは信頼を築くことはできませんよね。私は自分の職業的なバイアスを自覚していますが、個人的にはこの点に注意を払い、どんなウェブサイトでもそれを見たらすぐに悪い第一印象を抱きます。
私の推測では、HTTPSへの移行は滞留時間を改善し、ポゴ・スティッキングを防ぐことができます。これらは理論上のランキング要因にすぎませんが(確定したものではありません)、ユーザーがあなたのウェブサイトに訪れてそこにとどまることを促すのは、SEOに関係なく望ましいことです。
紹介データの保存
もしウェブサイトがまだHTTPのままであり、Google Analyticsなどのウェブ解析サービスを使用している場合、注意が必要です。なぜなら、HTTPSからHTTPページへのリファラーデータ(他のウェブサイトからのリンクを通じて訪れたユーザーの情報)は受け渡されないからです。
最近では、多くのウェブサイトがHTTPSを採用しているため、リファラートラフィック(他のサイトからのリンクによる訪問)のソースは、ほとんどのアナリティクスソフトウェアで「ダイレクト」または「直接」に分類されることが多いです。
このデメリットのひとつは、データが乱雑になり、歪んでしまうことです。もうひとつは、正確な情報が得られなくなる恐れがあります。また、最も価値のあるリンク元を正確に特定できないため、これはリンク構築の機会を無駄にすることになります。
補足
Google Analyticsのトラッキングでよくある間違いに興味がある方は、こちらの記事をご覧ください。
セキュリティとサイトスピードを向上させる最新プロトコルの使用が可能
外見上は、HTTPSはセキュリティが追加されているため、HTTPよりも遅くなると思われがちです。しかし、最新のセキュリティとウェブパフォーマンス技術を活用するには、HTTPSが必要です。
言い換えれば、セキュリティだけでなく、TLS 1.3や HTTP/2などのプロトコルを使用する場合、HTTPSによってウェブサイトのページ速度を向上させることができます。さらに、Googleは、ユーザーエクスペリエンスの向上とは別に、ページの速さもHTTPSと同様に軽量なランキング要因として考慮しています。
HTTPSの設定方法
これは状況によって異なります。
1.新しいウェブサイトを立ち上げる
これはまるで宝くじに当たったようなものです。最初からHTTPSを選べば、HTTPや移行に伴うエラーの心配は不要です。
必要なのは、このプロセスを導いてくれるホスティングプロバイダーを選び、HTTPと最新のTLSプロトコルをサポートしていることです。すべてが準備できたら、最後にHSTSを実装してセキュリティを確保します。
2.すでにHTTPS対応のウェブサイトをお持ちの場合
もしあなたがこの記事を読んでいるのであれば、正しく設定されていない可能性があります。次のセクションのアドバイスに従って、よくあるエラーを確認してみてください。
3.まだHTTPでウェブサイトを運営している
すべてを準備し完了させるには時間がかかるかもしれません。移行の難易度は、以下の要因によって異なります:
- ウェブサイトの規模と複雑さ
- 使用しているCMSの種類
- ホスティング/CDNプロバイダー
- 自身の技術力
人気のあるCMSを使用し、信頼性の高いホスティングで小規模なウェブサイトを運営している場合、自分で移行できる可能性もありますが、さまざまな要因が影響します。
CMS/サーバー/ホスティング/CDNのドキュメントを確認し、それに従って、慎重に進めることをお勧めします。実行しなければならない手順がかなり多いので、移行チェックリストを作成するか、それに従ってください。
このすべてが技術的に難しすぎるようであれば、専門家を雇いましょう。時間を節約し、神経をすり減らすこともなく、将来的な導入も確実です。
HTTPS移行の潜在的なミスをチェックする方法
HTTPS移行のチェックリストにすべてチェックを入れたとしても、何らかの問題が発生する可能性はある。
実際、2016年に1万件のトップランキングドメインを分析したところ、さまざまなHTTPSの間違いが見つかりました:
- 90.9%のドメインが、最適とは言えないHTTPSを実装していた。
- 65.39%のドメインでHTTPSが正しく動作していなかった
- 23.01%のドメインが、恒久的な301リダイレクトではなく、一時的な302リダイレクトを使用していた。
その後、多くのことが改善されてきましたが、以下の5つの一般的なHTTPS移行のエラーを確認することをお勧めします。これにはあまり時間はかかりませんし、ほとんどの場合修正が難しくありません。
間違い1:HTTPページが残っている
何よりもまず、サイト上のすべてのページがすでにHTTPSになっていることを確認する必要があります。
ウェブサイトを徹底的にクロールすれば、HTTPページの残骸を発見できます。HTTPS移行のチェックリストに忠実であれば、これは目新しいことではありません。ただ、クローラーが必要なURLソースをすべて持っていることを確認し、ページが残らないようにしてください。
そのためには、Ahrefsウェブマスターツールを以下の設定で無料で使用することができます:
完了後、最新のクロールを開き、ページ・エクスプローラーで以下のフィルターを適用します:
HTTP URLのリストをエクスポートし、リダイレクトして移行を完了します。
ヒント
サイトマップになく、リンクがゼロのページは、クロールで発見することは不可能です。これを見つける一つの方法は、Google AdsやFB Business Managerのような広告マネージャからURLリストをエクスポートすることです。
そこから、孤立したページが適切にHTTPSに移行されたことを確認してください。また、キャンペーンダッシュボード上のページも新しいHTTPS形式にアップデートすることを忘れないようにしてください。
間違い2:HTTPコンテンツを含むHTTPSページ
このミスは、最初のHTMLファイルはHTTPSで読み込まれるが、そのリソースファイル(画像、CSS、JavaScript)がまだHTTPSに更新されていない場合に発生します。
あなたのウェブサイトに問題がある場合、クロールの概要と内部ページレポートの両方に表示されます。無料のAhrefsウェブマスターツールのすべてのエラー、警告、通知には、問題の説明と修正方法のアドバイスが含まれています。
間違い3:内部リンクがHTTPSに更新されていない
内部リンクをHTTPSに更新しないと、不必要なリダイレクトが発生します。HTTPページにランディングするよりは良いに決まっているが、このミスはすでに経験済みだ。このようなリンクを見つけ、修正するのは簡単です。
この問題は、Ahrefsウェブマスターツールのサイト監査にあるリンクレポートで確認できます:
URLを https:// に書き換えれば完了です。これは、間違いその1のアドバイスでHTTPページが残っていないことをすでに確認している場合にのみ適用できます。
間違い4:タグがHTTPSに更新されていない
ウェブサイトで使用しているタグには、URLをHTTPSに更新する必要があるものが2種類あります:CanonicalタグとOpen Graphタグです。
Canonicalタグは、似たようなページや重複したページがたくさんある中で、あなたが最も権威のあるページだと考えているものをGoogleに伝えます。それをHTTPバージョンに向けることは、間違いなくGoogleに悪いシグナルを送ることになり、無視される可能性が高いです。
ソーシャルメディアの投稿を最適化するためにOpen Graphタグを使用している場合、URLタグはFacebookによって要求されます。URLタグは、カノニカルURLと同じでなければなりません。
HTTPのcanonicalタグとOGタグを持つページを見つけるには、ページ・エクスプローラーでこのカスタム・フィルターを設定します:
繰り返しになりますが、完全なマイグレーションが完了したら、あとはそれらをhttps:// に書き換えるだけです。
間違い5:リダイレクトの失敗
リダイレクトは厄介です。リダイレクトが壊れてしまったり、リダイレクトチェーンやループが発生したりと、うまくいかないことがたくさんあります。
幸いなことに、サイト監査を使えばエラーを簡単に見つけることができます。リダイレクトレポートをチェックし、すべての問題に目を通すだけです。
「影響を受けるURLを表示する」ボタンをクリックすると、次のようなレポートが表示されます:
リダイレクトされたURL、リダイレクトチェーン内のURL、リダイレクトされたURLにリンクしているURLなど、影響を受けるすべてのURLが表示されます。
ここでやるべきことは2つあります。
まずは、リダイレクトを分割することです:
https://blog.example.com/123/> -> 301リダイレクト -> >https://example.com/blog/987/
これにより、https://blog.example.com/123/ と https://example.com/blog/123/ の両方を指すリンクが一度のリダイレクトで処理されることになります。ウェブマスターにリンクの編集を依頼するのは非常に手間がかかることなので、外部被リンクの場合はこの方法で十分です。
ただし、内部の場合はもっと効率的な方法があります。
次に、リダイレクトの数を最小限に抑えるよう努力することが大切です。インリンク数の項目が役立つことがあります。
インリンクとは、リダイレクトチェーンの影響を受けるURLからリンクされているURLのことです。これらのページのリンクを、HTTPステータスコード200を返すURLと置き換える必要があります。インリンクの数をクリックすると、それらのリンクが表示されます:
もちろん、繰り返しになりますが、次のステップは、リダイレクトチェーン内のURLのインリンクを確認することです。ただし、リダイレクトチェーンは既に解消されているため、優先度は低くなります。これらのリンクは、次回のクロール時に3XXリダイレクトレポートで標準の301リダイレクトとして分類されるでしょう。
最終的な感想
私たちは、より速くて安全なウェブブラウジングを期待しています。
w3techs.comによると、調査サンプルの59.4%のウェブサイトがデフォルトでHTTPSを使用しています。一方、Googleによると、Chromeの閲覧時間の88~99%がHTTPSのウェブサイトに費やされていると述べてます。
このデータから私が得たのは、かなりのトラフィックを持つ人気のあるウェブサイトの大半は、すでにHTTPSに移行しているということです。この2つのデータに大きな違いがあることを不思議に思うのであれば、Googleのデータには含まれていない中国のウェブサイトが原因だと私は考えています。
しかし、TLSのサポートの質という点では、まだ望むべき点は多いです。ここで学んだように、HTTPSの設定は単なる移行作業だけでは終わりません。ウェブのパフォーマンスとセキュリティのトレンドを常に追いかけ、最新の機能を導入することは、すべての関係者にとってメリットがあります。
ご質問やコメントはありますか?ツイッターでご連絡ください。
記事を書いた人
Michal Pecánek
6年以上の経験を持つSaaS SEOコンサルタント。フリーランスになる前は、AhrefsのSEO & マーケティングエデュケーターとして、ブログのコンテンツ作成やゲストライターのチーム管理を行っていました。
コメント