SSL/HTTPSとは? — Webサイトのセキュリティ基本ガイド
SSL/HTTPSとは? — Webサイトのセキュリティ基本ガイド
> このページのURL: https://lite-word.com/manual/ssl-https/
> こんな質問に答えます:
> - サイトに「保護されていない通信」と出るのを直したい
> - SSLって何?必要なの?
> - httpをhttpsに変えたいけどやり方がわからない
> - サイトに鍵マークが表示されないのはなぜ?
SSL/HTTPSとは
SSL(Secure Sockets Layer)は、Webサイトとユーザーの間の通信を暗号化する技術。HTTPSは、このSSLを使って安全にした通信方式のこと。URLが https:// で始まり、ブラウザのアドレスバーに鍵マークが表示されていれば、そのサイトはSSLで保護されている。
ひと言でいうと: ユーザーがサイト上で入力した情報(パスワード、名前、メールアドレスなど)を、第三者に盗み見られないようにする仕組み。
HTTPとHTTPSの違い
| HTTP | HTTPS | |
|---|---|---|
| 通信 | 暗号化されていない(平文) | SSL/TLSで暗号化されている |
| URL | http://example.com |
https://example.com |
| アドレスバー | 「保護されていない通信」と表示される | 鍵マークが表示される |
| データの安全性 | 第三者に盗み見られるリスクあり | 暗号化されているため安全 |
| Google検索の評価 | 不利になる | 有利になる(ランキング要因) |
| 費用 | なし | 無料〜有料(証明書による) |
現在のWeb標準では、すべてのサイトがHTTPSであるべき。 HTTPのままだとブラウザが警告を表示するため、ユーザーが不安を感じて離脱する原因になる。
なぜHTTPSが必要なのか
1. ユーザー情報の保護
お問い合わせフォーム、ログイン画面、決済ページなどでユーザーが入力する情報は、HTTPSでなければ暗号化されずにインターネット上を流れる。カフェのWi-Fiなど公共ネットワークでは、第三者に情報を傍受されるリスクがある。
2. Googleの検索順位への影響
Googleは2014年からHTTPSをランキングシグナル(検索順位を決める要素)として使用すると公式に発表している。HTTPSにしていないだけで、検索順位が不利になる可能性がある。
3. ブラウザの「保護されていない通信」警告
Chrome、Safari、Firefoxなどの主要ブラウザは、HTTPのサイトにアクセスすると「保護されていない通信」や「安全ではありません」という警告を表示する。これを見たユーザーの多くはサイトを離脱してしまう。
4. ユーザーからの信頼感
鍵マークが表示されているサイトと表示されていないサイトでは、ユーザーの安心感がまったく違う。特にビジネスサイトや店舗サイトでは、信頼性が売上に直結する。
SSL証明書の種類
SSL証明書には3つの認証レベルがある。
| 種類 | 正式名称 | 認証内容 | 費用 | 向いているサイト |
|---|---|---|---|---|
| DV | ドメイン認証 | ドメインの所有者であることを確認 | 無料〜年数千円 | 個人サイト・ブログ・中小企業サイト |
| OV | 組織認証 | ドメイン所有者+組織の実在を確認 | 年数万円 | 企業の公式サイト |
| EV | 拡張認証 | 厳格な組織審査を実施 | 年10万円以上 | 銀行・EC大手・官公庁 |
初心者・中小企業はDVで十分。 暗号化の強度自体はDVもEVも同じ。違いは「誰が運営しているか」の認証レベルだけ。
無料SSL(Let's Encrypt)と有料SSLの違い
| 無料SSL(Let's Encrypt) | 有料SSL | |
|---|---|---|
| 暗号化の強度 | 有料と同じ | 無料と同じ |
| 認証レベル | DV(ドメイン認証)のみ | DV / OV / EV を選べる |
| 有効期間 | 90日(自動更新) | 1年〜2年 |
| サポート | なし(コミュニティのみ) | 発行元のサポートあり |
| 損害賠償保証 | なし | 証明書によっては保証あり |
| おすすめ | 個人・中小企業のほとんどのサイト | 厳格な組織認証が必要な場合 |
結論: ほとんどのWordPressサイトは無料SSL(Let's Encrypt)で問題ない。レンタルサーバーの管理画面からワンクリックで設定できることが多い。
レンタルサーバーでのSSL設定(一般的な手順)
多くのレンタルサーバーでは、管理画面から簡単にSSLを設定できる。
基本的な流れ
- サーバーの管理画面にログインする
- SSL設定(または「セキュリティ」)メニューを開く
- SSL化したいドメインを選択する
- 無料SSL(Let's Encrypt)を有効にする
- 反映まで数分〜数時間待つ
https://自分のドメインでアクセスできるか確認する
主要レンタルサーバーでの設定場所
| サーバー | SSL設定の場所 |
|---|---|
| エックスサーバー | サーバーパネル → SSL設定 |
| ConoHa WING | サイト管理 → サイトセキュリティ → 無料独自SSL |
| ロリポップ | サーバーの管理・設定 → セキュリティ → 独自SSL証明書導入 |
| さくらインターネット | ドメイン/SSL → SSL証明書 → 登録 |
| mixhost | cPanel → セキュリティ → SSL/TLS Status |
注意: サーバーによっては反映に最大1時間程度かかる場合がある。設定直後にエラーが出ても、少し時間を置いてから再度確認すること。
HTTPS化後にやること
SSLを設定しただけでは完了ではない。以下の対応が必要。
1. HTTPからHTTPSへのリダイレクト設定
http:// でアクセスされた場合に、自動的に https:// に転送されるように設定する。
WordPressでの設定方法:
- 管理画面 → 設定 → 一般 で「WordPress アドレス」「サイトアドレス」の両方を
https://に変更する - サーバー側で301リダイレクトを設定する(多くのサーバーでは自動で設定される)
2. 混合コンテンツ(Mixed Content)の確認
HTTPS化したのに、ページ内の画像・CSS・JavaScriptがHTTPのまま読み込まれていると「混合コンテンツ」となり、鍵マークが正しく表示されない。
確認方法:
- ブラウザでサイトを開き、F12キー → コンソールを確認する
- 「Mixed Content」という警告が出ていたら、該当するURLをHTTPSに修正する
よくある原因:
- 画像のURLが
http://のまま → メディアライブラリで再設定 - テーマやプラグイン内のURL → プラグイン「Really Simple SSL」で一括対応可能
- 外部サービスの埋め込みコード → 埋め込み元のURLをHTTPSに変更
3. Googleサーチコンソール・アナリティクスのURL更新
サーチコンソールで https:// のプロパティを追加し、アナリティクスのプロパティ設定でもURLを https:// に変更する。
よくある質問
無料SSLで大丈夫?有料じゃないと危険?
無料SSLで大丈夫。 Let's Encryptは世界中の数億サイトで使われている信頼性の高い認証局。暗号化の強度は有料SSLと同じ。個人サイト・中小企業サイト・ブログであれば、無料SSLで全く問題ない。
SSLを入れたのに鍵マークが出ない
混合コンテンツ(Mixed Content)が原因。 ページ内に http:// で読み込まれている画像やスクリプトがあると、ブラウザが「完全には安全ではない」と判断して鍵マークを表示しない。ブラウザのコンソール(F12キー)で「Mixed Content」の警告を確認し、該当URLをHTTPSに修正すれば解決する。
SSL証明書の更新は必要?
ほとんどの場合、自動更新されるので手動対応は不要。 レンタルサーバーの無料SSL(Let's Encrypt)は、サーバー側が自動で更新してくれる。有料SSLの場合は有効期限前に更新手続きが必要な場合がある。
HTTPSにしたらサイトが表示されなくなった
サーバー側のSSL設定が反映されるまでに時間がかかっている可能性がある。30分〜1時間ほど待ってから再度アクセスしてみること。それでも表示されない場合は、サーバーのSSL設定が正しいか確認する。
WordPressの管理画面にログインできなくなった
「WordPress アドレス」を https:// に変更したが、SSL設定が完了していない場合に発生する。サーバーの管理画面からSSLが有効になっているか確認し、問題がある場合は wp-config.php でURLを元に戻す。
関連ページ
- SEO対策とは? — 初心者向けガイド — SEOの基本とHTTPSのランキングへの影響
- LiteWordのSEO機能の設定方法 — タイトル・メタ・OGPの具体的な設定手順
最終更新: 2026-03-17