独自SSL導入によるhttpsページへの対応

グーグルがSSL対応を推奨した影響もあってか、レンタルサーバー会社による独自SSLキャンペーンをよく見かけるようになってきました。はじめて独自SSLを導入してhttpsページに対応する際の基礎知識をご紹介します。

■独自SSLと共有SSLの違い

共有サーバーでは、レンタルサーバー会社から提供されるhttpsページを利用できることが多いです。当サイト運営者もメールフォームの設置で使用した記憶がありますが、他のドメインのURLへのリンクになってしまうため、途中でやめたことがあります。

一方、自分のドメインでSSLページを利用するには、独自SSLを申し込む必要があります。たいていは利用しているレンタルサーバー会社に申し込んで利用する形になりますが、大手と格安のブランドがあり、信頼性や利用料金などの面で違いがあります。

■大手SSLと格安SSL

国内大手で有名なSSLブランドには以下のものがあります。

• シマンテック（旧日本ベリサイン、世界シェア１位）
• グローバルサイン（国内シェア１位）
• ジオトラスト（シマンテックグループ）
• セコムトラスト

大手ブランドは知名度が高く信頼性も高いので、ネットショップや大企業などでよく利用されています。けれども、利用料金が数万～数十万円と高額なのに加え、申請手続きが煩雑で面倒くさい傾向にあり、個人や中小企業には手を出しにくいです。

一方、低価格の格安タイプもあります。

• ラピッドSSL（ジオトラスト社RapidSSL事業部）
• SecureCore（セキュアコア株式会社）
• CoreSSL（セキュアコア株式会社）

こちらの格安SSLはどれもドメイン認証なので導入が手軽なうえ、料金も数千円程度と利用しやすいです。ちなみに、セキュアコア株式会社はそれほど知名度は高くないですが、レンタルサーバーのネットオウルの関連会社でComodo社が認証局となっています。

■個人ブログと企業・商用サイト

申請時の認証方法によっても違いがあり、一番簡単なものがドメイン認証です。格安SSLや大手の低価格プランの場合、ドメインのwhois情報にメールを送信して確認するのが一般的です。個人ブログの場合、主にこのドメイン認証方法が一般的かと思います。

一方で企業サイトの場合、企業認証SSLが一般的になります。企業データベースや電話確認、印鑑証明書などによって企業の実在性が確認されるため、より信頼性が高い認証方法です。

さらに、EV認証というのもあり、こちらは大企業などで利用される認証方法になります。確認書類が増え、組織の担当者の権限などより厳格な審査が必要になります。

■SSL対応のメリット

業種別にいいますと、ネットショップなどの個人情報を扱うサイトや金融機関、医療機関などは高い信頼性のSSLブランドを使用することが必須の要素です。

一方、個人ブログの場合、双方向的なインタラクティブなやり取りではなく、単に要求されたhtmlファイルを表示するだけの一方行的なやり取りになるので、特に必要はない気がしてなりません。グーグルがhttpsページを推奨していますので、ゆくゆくは対応する必要性があるとは思いますが、画像などのhttpページへのリンクもすべてhttpsページへと変更する必要があるため手間がかかるはずです。

もし当ドメインで対応する場合、SSLを申し込んだのち、「http://blog-tips.net/」でドメイン内を検索し、該当する箇所をすべてhttps付きの「https://blog-tips.net/」に置換作業で書き換えればそれで済むはずですが、サイトマップなどもすべて書き換える必要があります。

ただ、不完全な形で中途半端にSSL対応している場合、ブラウザに黄色いマークが出て「この接続は安全ではありません」という表示がされるため、通常のhttpページよりもかえって訪問者に不安を与える形になってしまいます。

https対応により、既にインデックスされている全ページのキャッシュも更新されると思いますので、検索順位にも何らかの影響があるような気がしてなりません。それがよい方向で影響があればよいのですが、悪い影響が出てくる可能性もあるため、高いお金を出すのは少し躊躇してしまいます。

■携帯端末とスマホ端末への対応

非常に気になる点に携帯端末への対応状況があります。大手ジオトラストでも、スマホへの対応率は100%なものの携帯電話（ガラケー、フィーチャーフォン）への対応率は95.7％となっています。CoreSSLワイルドカードの場合は非対応となっていたりと、古い携帯端末の場合は閲覧できないケースもあります。

実際のところは利用してアクセス解析を確認してみないと分りませんが、もしかするとアクセス数が減少するケースも１部では発生するかもしれません。

■信頼性について

大手ブランドによる企業認証やEV認証の場合は信頼性が高いですが、ドメイン認証の場合はお手軽で簡単なため、フィッシングサイトなどでも利用されるケースがあります。なので、httpsページだからといって、必ずしも安全性が高いということにはなりませんが、一般訪問者が格安SSLかEV認証かの違いはほぼわからないはずです。

■SSL対応による表示速度の遅延について

これはあくまでも主観ですが、SSL対応のページは遅くてイライラするケースが多いです。実際、通信が暗号化されるため、遅延が生じるのは仕方ないとは思いますが、かなり遅いケースがあります。単に情報を閲覧するだけの個人ブログで個人情報を入力するわけでもない場合、表示速度がはやい方が訪問者のメリットが大きい気がしています。

そもそも悪意のあるサイトについては検索エンジン結果からは除外されていますし、ブラウザで直接URLにアクセスする場合でも警告がでます。さらに、パソコン内のウイルスソフトでもある程度は対策されているはずです。

個人情報のやり取りをするわけでもないブログで、表示速度を犠牲にしてまでSSLに対応する必要性があるのかは正直疑問があります。

検索エンジン対策の要因としてサイトの表示速度も関係してきますので、仮にSSL対応で安全性が高くなることでSEO効果があったとしても、表示速度の遅延によって、そのSEO効果が打ち消される可能性もあるのではないでしょうか。

https対応した場合のSEO効果については不確定要素が多い気がしており、当ドメインでは現在のところは様子見をすることにしております。