初心者向けにわかりやすく解説するSSL対応のやり方

はじめに

目的と対象

この章では、本資料の目的と読者対象を明確にします。Webサイトを運営する個人や企業、管理者や初めてSSL化を行う開発者向けに、具体的で分かりやすい手順を示します。専門知識が少なくても実施できるように説明します。

本資料で学べること

この資料は、SSL（HTTPS）対応の目的、基本的な流れ、主要なレンタルサーバーやCMSでの手順、SSL化後に必要な追加対応、証明書の種類や選び方、よくあるトラブル対策を順を追って解説します。実務で役立つ具体例を交えて説明します。

なぜSSLが必要か（簡単な理由）

SSLはサイトと訪問者の間の通信を暗号化し、情報の盗聴や改ざんを防ぎます。例えば、ログイン情報や問い合わせフォーム、オンライン決済の安全性が高まります。さらに、最近のブラウザはSSL未対応のサイトに警告を出すため、訪問者の信頼確保にも役立ちます。

この先の読み方

章ごとに手順や注意点を分かりやすくまとめています。まずは第2章で全体のやり方を把握し、第3章以降で具体的な操作へ進んでください。必要な事前準備も章頭で案内しますので、順番に進めてください。

ホームページ・WebサイトのSSL対応やり方まとめ

なぜSSLが必要か

SSLは通信を暗号化し、入力フォームやログイン情報を守ります。URLがhttps://になり、ブラウザに鍵マークが表示されます。検索エンジンの評価にも好影響があります。

全体のやり方（短い流れ）

1. 証明書を取得する（無料／有料）
2. サーバーに証明書をインストールする
3. サイト内のURLをhttpsに切り替える
4. 強制リダイレクトやHSTSを設定する
5. 動作確認と定期更新

証明書の取得方法（具体例）

• 無料: Let’s Encrypt（自動更新が可能）
• 有料: ドメイン認証/企業認証の種類があり、サポートや保証が付く
  多くのレンタルサーバーは管理画面からワンクリックで発行できます。

サーバーへの導入（代表的手順）

• レンタルサーバー: 管理画面でSSLオン→自動発行→有効化
• 自前サーバー: CSRを作成→証明書を取得→Apache/Nginxに設定
• CDN使用時: CDN側で証明書管理やフル/部分的なSSLを選択

導入後に必ず行うこと

• 全ページをhttpsへリダイレクト（301）
• 画像やスクリプトの混在コンテンツを修正
• サイトマップやcanonicalを更新
• 証明書の有効期限を管理（自動更新を推奨）
• SSLチェックツール（例: SSL Labs）で確認

注意点とよくある落とし穴

• リダイレクトループや混在コンテンツで表示崩れが起きる
• 古いAPIや外部リソースが非対応だと読み込み失敗する
• ブラウザや検索エンジンのキャッシュで変更が反映されない場合がある

必要に応じて、具体的なレンタルサーバー名やCMSごとの手順を次章で詳しく説明します。

SSL対応の基本的な流れ

全体像

SSL化は順を追って進めれば難しくありません。ここでは代表的な7つの手順を、具体例を交えてやさしく説明します。

1. サーバーがSSLに対応しているか確認

レンタルサーバーなら管理画面に「SSL」や「セキュリティ」の項目があります。専用サーバーならサーバー管理者にTLS（暗号化通信）が使えるか確認してください。

2. SSL証明書を取得

無料なら「Let’s Encrypt」、有料なら各証明機関（例：SectigoやDigiCert）を選べます。無料は更新を自動化すると便利です。

3. CSR（証明書署名要求）の作成

管理画面でボタンを押すだけで作れる場合が多いです。手動ならOpenSSLコマンドで作成します（例：openssl req -new）。

4. 証明書のインストール

証明書ファイル（crt）と秘密鍵をサーバーに配置し、管理画面やサーバー設定で指定します。cPanelやPleskならウィザードが用意されています。

5. サイト内のURLをhttpsに変更

HTMLやCSS、JavaScript内のhttpリンクをhttpsまたは相対パスに変更します。画像や外部スクリプトも確認してください。

6. 301リダイレクト設定

恒久的リダイレクト（301）でhttp→httpsに転送します。Apacheなら.htaccess、nginxならserverブロックで設定します。

7. 動作確認と運用開始

ブラウザの鍵マーク、mixed content（混在コンテンツ）の警告を確認します。外部ツール（例：SSL Labs）で評価すると安心です。

注意点

WordPressなどはプラグインで簡単に済む場合があります。wwwあり/なしやサブドメインの扱い、証明書の有効期限切れに注意してください。

主要レンタルサーバー・CMS（WordPress等）でのSSL化手順

エックスサーバー

1. サーバーパネルにログインします。
2. 「SSL設定」を開き、対象ドメインで「独自SSLを追加」または「SSLをON」にします。自動的にLet’s Encryptが設定される場合が多いです。
3. ドメイン設定で「HTTPS強制（常時SSL）」や「HTTP→HTTPS転送」を有効化します。
4. 動作確認はブラウザでhttps://ドメイン を開き、鍵マークが表示されるかを確認します。

さくらのレンタルサーバー（WordPress）

1. コントロールパネルの「独自SSL設定」でSSLを有効化します。
2. WordPressの管理画面で「設定」→「一般」を開き、「WordPressアドレス（URL）」「サイトアドレス（URL）」をhttpsに変更します。
3. .htaccessにリダイレクトを入れ、HTTPアクセスをHTTPSへ統一します。例：

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

1. プラグイン（例：Really Simple SSL）で混在コンテンツを自動修正できますが、手動で画像やスクリプトのURLを修正する方が確実です。

Windows IIS

1. IISマネージャーでCSR（証明書署名要求）を作成します。
2. 証明書発行機関から証明書を受け取り、IISにインポートしてサイトに割り当てます。
3. 中間CA証明書が別途必要な場合は、MS管理ツールで中間証明書をインストールします。
4. サイトのバインドでhttpsを追加し、証明書を選択します。

共通の確認事項

• ブラウザで鍵アイコンを確認します。
• サイト内の画像やスクリプトがhttpsで読み込まれるか確認します（混在コンテンツ対策）。
• リダイレクトは301（恒久）を使い、検索エンジンの評価に配慮します。

各手順は管理画面やプランによって表現が異なる場合があります。操作前にバックアップを取ることをおすすめします。

SSL化後に必要な追加対応

1. GoogleサーチコンソールにHTTPSを登録

SSL化後は必ずHTTPS版サイトをサーチコンソールに追加します。プロパティを新たに作成し、所有権を確認してください。これでインデックス状況やクロールエラーが見られます。

2. 301リダイレクトと内部リンクの修正

http://→https://への恒久的な（301）リダイレクトをサーバーで設定します。サイト内のリンクや画像URLもHTTPSに統一しておくと無駄なリダイレクトを減らせます。

3. Mixed Content（混在コンテンツ）の解消

ページ内でHTTPの画像やスクリプトが残ると警告が出ます。ブラウザのデベロッパーツールで確認し、外部含め可能な限りHTTPSを使ってください。

4. サイトマップ・robots.txtの更新

サイトマップにHTTPSのURLを出力し、サーチコンソールに再送信します。robots.txtに古いURLがあれば修正します。

5. アナリティクス・外部サービスの設定変更

Google Analyticsや広告ツール、SNSカード設定などHTTPSに変更してください。参照元の計測が切れないよう確認します。

6. インデックス状況と順位の監視

インデックス数や検索順位は一時的に変動します。サーチコンソールとアクセス解析を見ながら数週間〜数ヶ月程度様子を見てください。

7. チェックリストの運用

変更箇所をリスト化し、完了チェックを行います。問題が出たらログやエラーレポートをもとに早めに対応してください。

SSL証明書の種類と選び方

主な3種類

• ドメイン認証（DV）
• ドメインの所有だけを確認します。個人ブログや小規模サイトに向きます。無料のLet’s Encryptなどが代表例です。
• 組織認証（OV）
• 企業や団体の実在性を証明します。会社名や住所の確認が入るため、信頼性を高めたい中小企業に適します。
• EV（拡張認証）
• 最も厳格に組織を確認します。金融機関や大規模EC、ブランド保護が必要な場合に選びます。

その他の種類

• ワイルドカード証明書：1つのドメインの全サブドメインに有効（例：*.example.com）。
• マルチドメイン（SAN）証明書：複数の異なるドメインを1枚で扱えます。
• 無料証明書：自動更新が可能でコストを抑えたいときに便利です。

選び方のポイント

• 用途：個人・ブログならDVで十分です。会社サイトで信頼性を示したいならOV、金融系はEVを検討します。
• 予算：無料→有料の順で費用が上がります。OV/EVは審査と費用が必要です。
• サブドメインや複数ドメインの有無：ワイルドカードやSANを選ぶと管理が楽です。
• 発行元（CA）やサポート：大手CAは互換性やサポートが安心です。

取得時の注意

• OV/EVは実在性確認に書類が必要です。更新期限を忘れず自動更新やリマインダーを設定してください。

よくあるトラブルと対策

1) 混在コンテンツ（Mixed Content）による警告

ブラウザで「保護されていません」や鍵マークが表示されるとき、多くはページ内にHTTPで読み込まれる画像やスクリプトが残っています。対応策は以下です。
– 全ての内部リソース（画像・CSS・JavaScript）をhttpsで読み込むよう修正する。例：にする。
– 外部サービスがHTTPのみの場合は、代替のHTTPS提供先を使うか、プロキシ経由で取得する。
– ブラウザのデベロッパーツールで「Console」を確認して問題箇所を特定します。

2) リダイレクト設定漏れでSEO評価が分散する

httpとhttpsで別々にアクセスされると検索エンジンが評価を分散します。対処法：
– HTTP → HTTPSへ恒久的な301リダイレクトを設定する。
– サイト内の canonical タグとサイトマップをすべてHTTPSに統一する。
– CDNや外部のキャッシュ設定もHTTPSに合わせる。

3) 証明書の有効期限切れ

有効期限切れはサイトが完全に警告表示される原因です。予防と対策：
– 自動更新が可能な証明書（例：Let’s Encrypt）を使うか、購入証明書は期限前に更新する。
– 期限切れを防ぐためにカレンダーや監視ツールでアラートを設定する。
– 万が一切れたら速やかに新しい証明書を発行して適用します。手順はレンタルサーバーや管理画面に従ってください。

小さなトラブルシューティングのコツ

• ブラウザの鍵アイコンをクリックして証明書情報を確認する。
• オンラインのSSLチェックツールで設定とチェーンを確認する。
• 変更後はキャッシュをクリアして再確認してください。

以上の基本対策で多くの問題は防げます。困ったときはログやブラウザの表示を手がかりに原因を絞り込みます。