はじめに
本資料の目的
この資料は「SSLサーバー(以下、SSL証明書)」について、基礎から実務で使える設定までを分かりやすく解説することを目的としています。Webサイトの通信を暗号化し、利用者に安心感を与える仕組みを理解できます。
背景と呼び方について
技術的には現在TLSが主流ですが、慣習的に「SSL証明書」と呼ばれることが多いです。本資料でも一般的な呼び方に合わせて「SSL証明書」と表記します。
対象読者
個人ブログや小規模サイトの運営者、企業の担当者、初めてSSLを導入する方を想定しています。専門知識が少なくても読み進められるよう、専門用語は最小限に留め、具体例を交えて説明します。
本資料で扱う内容(章の構成)
第2章:基礎と仕組み(暗号化の基本、証明書の種類)
第3章:取得・設定手順(レンタルサーバーでの導入例を含む)
第4章:メリットとSEOへの影響(安全性と検索順位の関係)
第5章:SSL化後のサーチコンソール設定(ドメインの登録と注意点)
まずは「なぜSSLが必要か」を日常の例でイメージしてから、順を追って学んでいきましょう。
SSLサーバー証明書の基礎と仕組み
証明書とは
SSLサーバー証明書は、Webサイトの実在性を証明し、ブラウザとサーバー間の通信を暗号化する電子の身分証明書です。URLの左に表示される鍵マークや「https://」がその目印になります。
証明書に含まれる情報
- サイト運営者名(場合によっては組織名)
- 公開鍵(暗号化に使う鍵)
- 発行者(認証局: CA)の情報
- 有効期限
これらを確認してブラウザは接続の安全性を判断します。
基本的な仕組み(簡単な流れ)
- ブラウザがサイトに接続要求します。
- サーバーが証明書を送ります。
- ブラウザが証明書の発行元と有効性を確認します。
- 公開鍵を使い一時的な共通鍵を安全に共有し、その後は共通鍵で通信を暗号化します。
現在はTLSというプロトコルが主流ですが、一般に「SSL」と呼ばれます。
認証レベルの違い
- ドメイン認証(DV): もっとも簡単で費用も低め。ドメイン所有だけを確認します。
- 企業認証(OV): 企業実在性を確認し、証明書に組織名が表示されます。
- EV認証: 審査が厳しく、より強い信頼表示(かつては緑のバーなど)を行います。
なぜ重要か
盗聴や改ざんを防ぎ、ユーザーが安心して情報をやり取りできる環境を作ります。サイトの信頼性向上にもつながります。
SSLサーバー証明書の取得・設定手順
1. CSR(証明書署名要求)の作成
サーバーでまずCSRを作成します。共通名(ドメイン名)、組織名、所在地などを入力します。例:OpenSSLを使う場合は
openssl req -new -newkey rsa:2048 -nodes -keyout example.key -out example.csr
とします。keyは秘密鍵、csrは申請用ファイルです。
2. 認証局への申請と審査
CSRを認証局(CA)に送ります。個人ならメールやドメイン確認のみで済むことが多く、企業は登記簿謄本など追加書類を求められます。審査が終わると証明書(CRT)が発行されます。
3. サーバーへのインストール
発行されたCRTと中間証明書をサーバーに配置し、ウェブサーバー設定(Apacheやnginx)で秘密鍵と証明書を指定します。レンタルサーバーでは管理画面の「独自SSL設定」でアップロードや選択だけで完了する場合があります。
4. HTTPSリダイレクトと追加設定
全ページをHTTPSにするため、.htaccessやサーバー設定でリダイレクトを設定します。例(Apache):
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
固定資産(CDN、外部スクリプト)もHTTPS対応にします。
5. 動作確認と更新管理
ブラウザで鍵マークを確認し、オンラインのSSLチェッカーでチェーンと有効期限を検証します。混在コンテンツ(HTTP読み込み)がないかも確認します。Let’s Encrypt等は自動更新が可能なので、更新手順を整備してください。
SSL化のメリットとSEOへの影響
通信の安全性(情報漏洩リスクの低減)
SSL化すると、ブラウザとサーバー間の通信が暗号化されます。たとえば、ログイン情報や問い合わせフォームの内容を第三者が読み取れなくなります。公開Wi‑Fiでの通信盗聴対策にも有効です。
サイトの信頼性向上(フィッシング対策)
サーバー証明書によりサイトの実在性が確認できます。ユーザーがブラウザの鍵マークや「保護された通信」を確認できるため、なりすましや偽サイトへの誘導を防ぎやすくなります。具体例として、買い物サイトでの決済時に安心感が増します。
ブラウザ表示とユーザーの行動
多くのブラウザはHTTPSでないサイトに「保護されていない通信」と表示します。表示が目立つと離脱率が上がりやすく、コンバージョンに悪影響を与えます。HTTPSにすると鍵アイコンが出て、訪問者の信頼を得やすくなります。
SEOへの影響
GoogleはHTTPSを推奨しており、SSL化したサイトは検索結果で有利に扱われることがあります。順位に直接の劇的な変化があるわけではありませんが、小さな評価の積み重ねでプラスに働きます。また、参照元(リファラ)情報が保たれるため、アクセス解析の精度向上にもつながります。
導入後の注意点(設定と保守)
- HTTPからHTTPSへ自動でリダイレクト設定してください。設定がないと二重コンテンツ扱いになる恐れがあります。
- ページ内の画像やスクリプトもHTTPSに切り替え、混在コンテンツを防いでください。
- 証明書は期限があるため、期限切れを防ぐために更新手続きを行ってください。
- 内部リンクや外部サービス(CDN、分析ツールなど)の設定も見直してください。これらを整えると、SSL化のメリットを十分に引き出せます。
SSL化後のサーチコンソール設定
概要
SSL化すると「http://」と「https://」は別のプロパティとして扱われます。検索表示やインデックスに影響が出るため、サーチコンソール側での再設定が必要です。
手順(簡潔)
- プロパティを追加
-
https版のURL(例: https://example.com と https://www.example.com)をそれぞれ追加して所有権を確認します。ドメインプロパティ(DNS確認)を使えば全てのプロトコルをまとめて管理できます。
-
サイトマップを再送信
-
sitemapのURLをhttpsに変更して送信します。XML内のURLもhttpsに更新してください。
-
URL検査でインデックス登録をリクエスト
-
主要ページをURL検査ツールでクロール・インデックス登録を依頼します。重要ページから優先的に行ってください。
-
リダイレクトと内部リンクの確認
-
http→httpsの301リダイレクトが正常か確認し、内部リンク・canonical・robots.txtをhttpsに統一します。
-
モニタリング
- カバレッジやパフォーマンスレポートを毎日確認し、エラーや順位変動を監視します。移行初期は順位の変動が出やすいので落ち着いて対応してください。
よくある注意点
- Change of Addressツールはドメイン変更用で、プロトコル変更では使いません。
- DNSでドメインプロパティを作れば管理が楽になります。
丁寧に一つずつ確認すればSSL移行は落ち着いて進められます。
