インターネット上での個人情報の取り扱いが多くなっている中、ユーザーの情報を守るべくGoogleがHTTPページへの警告を開始し、HTTPSの適用有無を検索エンジンのアルゴリズムにも組み込みました。
常時SSL/TSLを実装した後もHTTPのサイトはインデックスされたままなので、HTTPSへのリダイレクトを設定する必要があります。
そこで今回は、サイトをHTTPS化するために必要な常時SSL/TSL化の流れと、HTTPからHTTPSへのリダイレクト方法をご説明します。
目次
サイトを常時SSL/TLS化をするメリット
Webサイトの安全性を担保するため、近年、サイトの常時SSL化が叫ばれてきました。実際にリダイレクトをするかどうかを決定する前に、そのメリットを知っておきましょう。
常時SSL/TLS化とは?
常時SSL/TLS化とは、サイト内の全ページをHTTPS化し、サーバー間の通信を暗号化することです。サイトのURL表示部分に鍵マークが付き、「保護された通信」と表記されます。
サーバー間の通信が暗号化されていると、万が一外部から通信を抜き取られた場合でも、情報を見られる心配がありません。
HTTPからHTTPSへ移行する際に必要となるのが、「リダイレクト」という作業です。リダイレクトは「.htaccess」というファイルや、Windowsのアプリケーションサーバーである「IIS」を使って行います。
常時SSL/TLS化をするメリット
上記のように、常時SSL/TLS化をするとサーバー間の通信が暗号化され、中間者攻撃や改ざんを予防できるというメリットがあります。
また、URLの表示部分に鍵マークが付くことで、ユーザーにサイトの安全性を示せます。特に、お客さま情報や問い合わせフォームなど、個人情報の記入があり、安全性の高さが求められるサイトでは重要なポイントです。
さらに重要なのは、Googleがユーザーのセキュリティを最優先に考え、常時SSL/TSL化を推奨しているということです。Googleは2014年の時点で、HTTPS化をランキングアルゴリズムの指標の一つとしています。
こうした理由から、Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
引用:HTTPS をランキング シグナルに使用します Googleウェブマスター向け公式ブログ
では、常時SSL/TLS化に対して、ログインページや取引ページといった個人情報を入力するページのみをHTTPS化する、部分的なSSL/TLS化は効果があるのでしょうか。
部分的なSSL/TLS化はサイト内でHTTPとHTTPSが混在している状態のため、データの安全が完全に担保されていない可能性があります。SSL/TLS化を進める場合は、Googleが推奨している通り、常時SSL/TLS化を実装しましょう。
常時SSL/TLS化の流れ
常時SSL/TLSを実装する際の手順を移行前と移行中に分けてご紹介します。流れを押さえておきましょう。
SSL/TSL化移行前
1.SSL認証の設定
SSL認証の取得設定を行います。
2.Google Search Consoleの登録
「www」および「非www」のバージョンに沿って、Search Consoleに両ドメインのHTTPとHTTPSを登録します。Search Consoleでサブドメインやサブディレクトリを登録している場合は、そのHTTPSのバージョンで登録し、コンフィギュレーションを複製します。
3.順位観測
HTTPSのドメインについて、検索順位の観測を開始します。
4.現在のトップサイトページ&クエリを識別
トラフィックを獲得している検索クエリや関連キーワード、トップページを特定し、検証します。
5.現在のサイトのクロール
HTTPSへ移行する前に、サイト内部の壊れたリンクなどを修正するためのHTTPサイトをクロールします。
6.新しいHTTPSの内部リンクの設定および更新
HTTPSにおいて、URL単位でステージ環境上のリンクを変更し、テストを更新します。
7.新しいHTTPSのWeb標準化
ステージ環境でHTTPSを使用し、正規URLが含まれるように標準的なタグを更新します。「www」と「非www」など、既存の書き換えをすべての行動リダイレクトステージ環境で確認し、HTTP上で動作するようなタグをHTTPサイトに実装します。
8.リダイレクトの準備
301リダイレクトの書き換えルールをテストします。
9.新しいXMLサイトマップの生成
HTTPSのURLで新しいXMLサイトマップを生成します。
10.robots.txtの準備
robots.txtをHTTPSのドメインのバージョンにアップロードし、必要に応じてHTTPSのURLを指定します。
11.関連キャンペーンを準備
移行後に備え、広告の変更やメール送信、関連キャンペーンを準備します。
12.設定の否認
Search Consoleで過去に送信されたリクエストが否認されたかどうかを確認します。
13.ジオロケーションの設定
Search Consoleで地域ターゲティングされたgTLDを移行する場合は、HTTPSのドメインで再度同様のものを地域ターゲティングするよう確認します。
14.URLパラメータの設定
URLのパラメータがSearch Consoleで処理されている場合は、既存の構成をHTTPSサイトのプロファイルに複製します。
15.CDNの設定準備
CDNを使用している場合は、移行時に適切にサイトのHTTPSドメインのバージョンを提供し、SSL処理が可能かどうかを確認しておきます。
16.広告および第三者ツールの準備
任意の広告が正常に動作するサイトで使用されているコードや、サードパーティの拡張機能、ソーシャルプラグインなどがHTTPS移行時に機能しているかを確認します。
17.ウェブ解析の設定の準備
既存のWeb Analyticsの設定がHTTPSのドメインのトラフィックを監視しているか、確認します。
SSL/TSL化移行中
1.HTTPSサイトの立ち上げ
HTTPSサイトのバージョンの検証をした後、公開します。
2.新しいHTTPSバージョンのWeb構造の検証
HTTPSサイトのバージョン上のURL構造が、HTTPと同じかどうかを確認します。
3.新しいHTTPSバージョンの内部リンクを確認
サイトリンクがHTTPSのURLに向いているかを確認します。
4.新しいHTTPSバージョンの正規化
ページ上の標準的なタグが、そのHTTPSのURLを指しているかを確認します。新しいHTTPS Webバージョンで、書き換えを実装します。
5.HTTPからHTTPSへの301リダイレクトを実装
HTTPSバージョンに、HTTPサイト上のすべてのURLから301リダイレクトを実装します。
6.ウェブ解析の設定
ウェブ解析プラットフォームで移行日付に注釈を付け、その構成がHTTPSのWebバージョンを追跡するように設定されているか確認します。
7.SSLサーバーの構成の検証
WebサーバーのSSL設定を確認します。
.htaccessを使ってHTTPからHTTPSに301リダイレクトする方法
.hatacccessを用いて301リダイレクトを設定する方法について、順を追って確認していきましょう。
手順
1.Rewrite機能をオンにする
1行目に「RewriteEngine on」と書き出し、URLの書き換えを行います。
2.URL書き換えのベースになるURLを指定
2行目に「RewriteCond %{HTTPS} off」と書き出します。
3.URLの書き換え内容を指示
3行目に「RewriteRule ^(.*)$ https://(ドメイン名)/$1 [R=301,L]」と書き出します。
301リダイレクトを実装することによって、半永久的なリダイレクトが可能です。サイトの引っ越しなど、旧サイトから新サイトへ移行する際に使用します。
ApacheでHTTPSへリダイレクトする方法
Apacheは無償で利用できるWebサーバソフトウェアです。
HTTPSへリダイレクトする際の記述は以下のようになります。
1 2 3 4 5 6 |
<VirtualHost *:80> ServerName example.com:80 RewriteEngine on RewriteCond %{HTTP_HOST} ^example\.com RewriteRule ^/(.*)$ https://example.com/$1 [R=301,L] </VirtualHost> |
最後に、Apacheを再起動させると、変更が反映されます。
※上記コードはリダイレクトの処理のみを記載したものです。ApacheにおけるSSL化の設定は別途必要です。
HTTPからHTTPSにリダイレクトする際の注意点
リダイレクトを実装する際は、どのような点に注意すべきなのでしょうか。
1.HTTPSのクロールを検証する
移行後、サイトのクロールを実施しましょう。HTTPSのURLがリンクされてアクセス可能か、エラーや誤ったnoindexが発生していないか、canonicalがリダイレクトせずに機能しているかを確認するためです。
2.新しいHTTPSサイトのリダイレクトを検証する
HTTPとHTTPS、「www」や「/」のあり・なしなど、正確に実装されているリダイレクトルールを確認します。
3.新しいXMLサイトマップをアップロードする
Search Consoleを使用し、HTTPS URLのバージョンで生成されたXMLサイトマップを確認し、アップロードします。
4.被リンクを受けている場合は、外部リンクを更新する
SNSやパートナーサイトなど、HTTPサイトに向けた外部リンクを更新します。
5.広告キャンペーンの更新について検証する
関連性の高い広告を実装し、電子メールで送信すると、アフィリエイトキャンペーンの変更が正しく行われるかどうか、HTTPSのWebバージョンを参照して検証します。
6.クロールやインデックスの状況などを監視する
クロールとインデックスの状況について、HTTP・HTTPS両サイトにエラーがないかSearch Consoleで確認しましょう。
また、HTTPとHTTPSのサイトのバージョンのトラフィックと掲載順位も監視します。
7.robots.txtの構成の検証
設定が適切に更新されるよう、HTTPSドメイン内のrobots.txtの設定を確認しましょう。
サイトの安全性を高めるために
個人情報を扱うサイトの場合、常時SSL/TLS化は特に重要な施策です。
HTTPからHTTPSへ移行し、リダイレクトをするにあたっては、注意すべきことやチェック項目が多量にあります。自社サイトの安全性を担保し、ユーザーとの信頼関係を築くため、一つずつ確実に取り組んでいきましょう。