Network Solutionsの調べでは2025年6月時点で、全WEBサイトの約 88% がhttpsに移行していて、SSLによる暗号化が標準となりつつあります。

SSL化はユーザーの個人情報や決済データを保護します。また、SSL未対応のWEBサイトはブラウザで「安全ではありません」と警告しユーザー体験の低下を招くため、SEO対策においても重要です。

そこで、SSLの基本や種類、そしてWordPressを例にとって導入方法までを詳しく解説します。WEB担当者としては、必須の内容となっているため、導入がまだできていないなら、早速お読みください。

東京SEOメーカー編集部

東京SEOメーカーのブログでは、SEOとその他webマーケティングを中心に発信しています。社内の独自調査と実績による一次情報をもとに執筆しており、読んでいただいた方が参考になるような有益性の高い情報を執筆しています。

監修者

アドマノ株式会社　代表取締役　天野剛志／国内海外webマーケティングのエキスパート

SSLとは?

SSLとは、WEBサイトとブラウザ間のインターネット通信を暗号化して保護するプロセスのことです。SSLは、暗号化を実現するための標準的な技術で、現在はより安全な後継プロトコルであるTLS（Transport Layer Security）に置き換えられていますが、一般的にはまだ「SSL」と呼ばれています。

SSL化により、パスワードやクレジットカード情報などの個人データが第三者に盗み見られたり、改ざんされるのを防いでくれるので、ユーザーは安全にWEBサイトを利用できます。

SSL化されたWEBサイトは、URLの表示が「http」から「https」に変わり、ブラウザのアドレスバーに「調整のアイコン（Chrome）」もしくは「鍵のアイコン（Edgeなど）」が表示されます。

SSL化することの重要性

SSL化は、WEBサイトの信頼性を高めるために必須です。データの暗号化により個人情報の漏洩を防ぎ、ブラウザの警告を回避できるのでユーザーからの信頼獲得にも役立ちます。

そこで、SSL化がなぜ重要なのかをデータ保護と信頼性向上の点から詳しく解説します。導入すべきか迷っているのなら早速、お読みください。

データの保護

SSL化することで、WEBサイトとユーザーの間で送受信されるデータが暗号化され、第三者による盗聴や改ざん、なりすましといったサイバー攻撃を防ぐことができます。

具体的には、SSL/TLSプロトコルを用いて、ユーザーが入力するログイン情報やクレジットカード番号、氏名、住所といった個人情報を、解読がほぼ不可能な文字列に変換します。もし悪意のある第三者がデータを傍受しようとしても、暗号化されているため内容を読み取ることができません。

仕組みとしては、ユーザーのブラウザとサーバー間で「SSLハンドシェイク」と呼ばれる認証プロセスを使い、安全な通信を実現しています。このように、ユーザーが安全にWEBサイトを利用できるようにするための基本的なセキュリティ対策といえます。

ユーザーからの信頼獲得

ユーザーからの信頼獲得という点においても重要です。なぜなら、WEBサイトの安全性を視覚的に証明できるためです。

SSL化されたWEBサイトはURLが「https」で始まり、ブラウザのアドレスバーに調整・鍵のアイコンが表示されます。こういった印は、ユーザーが入力する個人情報が暗号化され、安全に保護されていることを証明するものです。

逆に、SSL化されていないWEBサイトは、多くのブラウザで「安全ではありません」といった警告が表示され、ユーザーを不安にさせて離脱させる原因となります。このように、SSL化はユーザーに対して安全性を証明できるため、ビジネスにおける信頼構築に役立ちます。

SSLの種類

SSL証明書には、ドメイン認証（DV）と組織認証（OV）、拡張認証（EV）の3種類があり、それぞれ信頼性に違いがあります。自社のWEBサイトに最適な証明書を選ぶためにも、これらの違いを知っておくことが役立ちます。そこで、各SSLの特徴についてわかりやすく解説します。

ドメイン認証型（DV）

ドメイン認証（Domain Validation, DV）型SSL証明書は、SSL証明書の中でもっとも基本的なレベルで、安価に取得できるタイプです。

この証明書の導入手続きは比較的簡単で、申請者が対象ドメインの所有者であること、または管理権限を持っていることを確認できれば手続きが完了します。この確認は通常、メールや電話、あるいはHTTPファイルのアップロードによって可能です。

こういった手続きの簡易さから、個人ブログや情報提供を主な目的としてWEBサイトなどの非商用サイトに適しています。一方、Eコマースサイトでは、さらに審査レベルの高いものがおすすめです。

組織認証型

組織認証（Organization Validation, OV）型は、ドメインの所有権を証明するだけでなく、WEBサイトを運営する組織が法的に実在することを認証局に確認してもらう必要があります。つまり、ドメイン認証よりも、高い信頼性を持つ証明書といえます。

組織認証型を取得する際には、認証局が申請者である企業に直接連絡を取り、事業が法的に登録されているかといった審査をおこないます。

高いレベルの認証をしているため、ユーザーのログイン情報を扱うWEBサイトや企業の公式サイトなどに適しています。OV証明書が導入されたWEBサイトは、ブラウザのアドレスバーに鍵のアイコンが表示され、証明書の詳細をクリックすると組織名が表示されます。

拡張認証型

拡張認証（Extended Validation, EV）型は、SSL証明書の中で最も高いレベルのセキュリティを証明するものです。この証明書を取得するには、認証局によるもっとも厳しい審査プロセスを通過する必要があります。

審査では、ドメインの所有権や組織の法的な存在確認に加えて、申請組織の物理的な存在や運営状況に関する調査がおこなわれます。こういつた理由から、EV証明書は銀行や大手Eコマースサイト、決済代行業者など、最高レベルの信頼性が求められる業界に導入されています。

SSL化を確かめる方法

WEBサイトがSSL化されているかを確認するもっとも簡単な方法は、ブラウザのアドレスバーをチェックすることです。SSLで保護されたWEBサイトのURLは、「http」ではなく「https」で始まります。また、アドレスバーには調整アイコンや鍵（南京錠）のアイコンが表示されます。

このアイコンをクリックすると、SSL証明書の詳細（組織名など）を確認でき、情報を詳しく知ることができます。逆に、SSL化されていないWEBサイトの場合、ブラウザには「安全ではありません」といった警告文が表示されることがあります。

WordPressのSSL化

ここでは、WordPressを例に挙げ、実際のSSL化をおこなう手順を解説します。他のCMSなどにおいても、同じように導入できます。ユーザーの安全を守るためにも、この内容を確認しながら導入を進めてください。導入は難しそうに見えますが、実際にはサーバー会社が提供する無料SSLなどを使えば簡単に実現できます。

関連記事:WordPressのメリットを解説！企業にとっての利点や魅力を引き出すコツなど解説

サーバー会社でLet’sencryptを導入

WordPressをSSL化する最初のステップとしてLet’s Encryptを利用してください。Let’s Encryptは、ドメイン認証（DV）型の証明書を無料で発行できるサービスです。

そして、多くのサーバー会社は、このLet’s Encryptを利用して無料SSL機能を提供しています。サーバー契約後、管理画面から数クリックで簡単に有効化できます。

もし契約したサーバー会社で対応していない場合は「Really Simple SSL」のようなWordPressプラグインを使ってください。「Really Simple SSL」はLet’s Encryptと連携して無料の証明書を自動でインストールしてくれます。

WordPressを設定する

次に、WordPressで設定をおこないます。サーバー会社でSSL証明書を有効化したあと、WordPressの基本設定を更新します。具体的な操作方法としては、WordPressのダッシュボードにログインし、「設定」メニューから「一般」ページに移動します。

そこで、「WordPress アドレス (URL)」と「サイトアドレス (URL)」の2つのフィールドを見つけ、現在の「http://」で始まるURLを「https://」で始まる新しいURLに手動で書き換えてください。

この変更を保存すると、WordPressはサイトの基本URLがhttpsになり、今後のコンテンツ生成や内部リンクが新しいアドレスになります。ただ、この設定変更後は、一度強制的にログアウトになるので再度、新しいhttpsのURLでログインしなおしてください。

HTTPからHTTPSへリダイレクトを設定

ここでは万が一、ユーザーが古い「http」で始まるURLにアクセスした場合でも、自動的に安全な「https」で始まるURLへ転送（リダイレクト）するよう設定します。この設定をおこなうことで、ユーザーがブックマークなどから「http」のページにアクセスしても、それらをすべてhttpsに誘導できます。

また、検索エンジンはhttpとhttpsを別々のサイトとして認識するため、このリダイレクト設定をしておくことが肝心です。リダイレクトしておけば、Googleなどの検索エンジンは、WEBサイトのURLが1つに統合されたと理解し、これまで蓄積してきたhttpのSEO評価を引き継くごともできます。

SearchConsoleに登録

最後に、Google Search Consoleにドメインを登録しておけば万全です。Googleは、「http」で始まるサイトと「https」で始まるサイトを別々のWEBサイトとして認識しています。

そのため、SSL化が完了したら、新しい「https」で始まるURLをGoogle Search Consoleに新しいプロパティとして追加し、所有権を認証してください。これで、httpで始まるURLがhttpsに移動したことをGoogleに対してより確実に伝えたことになります。

関連ページ:Google Search Consoleとは？グーグルサーチコンソールの導入方法と使い方を解説

SSL化のよくある質問

ここでは、SSL化についてのよくある質問を取り上げ解説します。WEB担当者としては、しっかり理解しておきたい箇所なので、下記のQ&Aセッションも隅々までご確認ください。

Q.証明される期間は決まっていますか？

Answer）SSL化の証明ができる期間は決まっていて、期限になれば更新する必要があります。

例えば、Let’s Encryptを利用している場合なら、90日ごとに更新します。更新されていないと、WEBサイトを開いたときに「この接続は安全ではありません」などの警告が表示されます。ただし、レンタルサーバーでLet’s Encryptを利用している場合は、自動更新されることが多いです。

Q.httpで登録しているSearch Consoleなどの設定は変える必要がありますか？

Answer）変更の必要があります。SearchConsoleやGoogleAnalyticsでは、httpとhttpsを区別しています。

そのため、新しいhttpsとしてドメインを登録し直すことが必要です。設定が難しい場合は、フリーランスやエンジニアなどに依頼して修正してください。

Q.メールサーバーもSSL化する必要がありますか？

Answer）メール送受信でもSSL/TLSの暗号化は必須です。

特に独自ドメインのメールアドレスを利用している場合、SSL設定をしておかないと送信したメールが迷惑メールとして判断されたり、エラーや警告が出ることがあります。こちらは、メール配信会社に設定方法を確認して手続きを進めてください。会社によっては代行してくれるところもあります。

Q.一部ページだけをSSL化しても良いですか？

Answer）以前は、SSLの導入することでサーバーに負荷がかかったり、高いコストもかかったので決済ページやログインページなど、一部のページだけをSSL化することがありました。

実際、httpsにすると、読み込みスピードも遅くなりました。しかし、現在は導入コストが減り、httpsにしても読み込みスピードはほとんど変わらないため、すべてのページで導入したほうが良いといえます。

SEOとWEBマーケティングの東京SEOメーカーTOPへ戻る