ウェブサイトの常時SSL(HTTPS)対応

現時点ではHTTPS対応はすでに重要なランキングファクターではありません。

このページでは、検索ユーザーのセキュリティを守るため、SSLを普及させ、常時SSLサイトを優遇する取り組みを徐々に強化してきた経緯をまとめています。

Search Times

Google検索で常時SSLサイトを優遇する取り組み

2014年8月にHTTPS / SSLのウェブサイトへの導入が検索結果の順位決定要素の1つになる事をGoogleが発表しています。
日本語のページにも公開されています。

HTTPS をランキング シグナルに使用します

2015年12月のアナウンスでは、常時SSL対応のサイトで
「https」と「http」ページが同じコンテンツであればhttpsを優先的にインデックスするように処理が変更されました。

HTTPS ページが優先的にインデックスに登録されるようになります

対応する HTTPS ページがどのページからもリンクされていない場合でも同じコンテンツだという事が認識されればhttpsページが優先的にインデックスされます。

例えば、以下の2パターンのURLがあったとします。

https://example.com/sample.html(httpsページでSSL対応)
http://example.com/sample.html(通常のhttpページ)

どちらもブラウザで表示させた時に、同じコンテンツであればhttpsページが検索結果に表示されます。

Googleは、httpとhttpsページ両方をクロールする?

Gary Illyes氏のTwitterコメントによると、https化に加えて、HSTSという仕組みを使用した場合は、httpsページのみをクロールするようになるそうです。(単純にhttps化のみだと、httpバージョンもhttpsバージョンも両方クロールする。)

HSTSとは?

HTTP Strict Transport Securityを意味します。HTTPではなく、HTTPSで通信するようにWeb サイトからブラウザに伝える事ができる機能です。

HSTSを使用する際に、「.htaccess」に次の一文を追加します。以下の記述はあくまで一例です。サーバー環境によって利用できない場合もある為、事前にご確認ください。
記述に誤りがあると、ウェブサイト全体でエラーが表示されます。テストする場合はバックアップを行い、すぐに戻せる状況にしておきましょう。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” env=HTTPS

ブラウザはそのウェブサイトにアクセスすると、2回目の訪問から自動的にhttpsで接続するようになります。
ここでは更にユーザーのセキュリティに配慮する為に、1回目の訪問からhttpsで接続するようにブラウザに伝える事のできる「HSTS Preload List」に自身のサイトを登録しておきましょう。

HSTS Preload Listで自身のドメインをチェックします。「.htaccess」の記述にミスがあったり、HSTSがそもそも利用できない場合には、エラーが表示されます。リダイレクトの記述の誤りが原因でエラーが表示されることもあります。

hsts-error

エラーがなければ、以下の画像のようにグリーンの背景が表示されます。

hsts-pass

正常に登録できれば、「Success」と表示されます。

hsts-success

HSTSの利用はサイト移転が正常に行われた事を確認してから行う

John Mueller氏の発言では、HTTPSへの移行の際は、まずは301リダイレクトを設定した方が良いそうです。そして数か月後全てが正しく動作している事を確認してから、HSTSを設定しましょう。既に設定している301リダイレクトは削除する必要はないそうです。

常時SSLサイト 順位への影響

同等の評価のページがあった場合には、SSL対応のページが優遇される

Gary Illyes氏の2015/9/14の発言では、あるキーワードで競合となるページと順位評価が同じ場合には、SSL対応しているページの方が優遇されるようです。

具体的にどの程度の割合で同程度の評価が発生するかについては、正確な数字は言えないものの無視できないぐらいの程度で発生しているようです。

無効な証明者はSSLの評価には影響しない

更に無効な証明書の場合は、SSL自体のランキング評価には影響しませんが、他の部分への影響があるようです。

ページエクスペリエンスアップデートの他の項目の評価が低い場合の影響

2021年6月からページエクスペリエンスアップデートが実施され、https対応やコアウェブバイタルの指標などをページエクスペリエンスに関連するシグナルとして扱っています。
他のコアウェブバイタルなどの評価が低い場合でも、httpsに対応する事のメリット(順位評価の向上)が無くなるという事は無いようです。

あわせて読みたい
ページエクスペリエンス アップデート ページエクスペリエンスはGoogleが使用しているランキングシグナルです。2021年6月16日にGoogleはページエクスペリエンス アップデートを開始し、2021年9月2日に完了し...

Chromeの常時SSLへの取り組み

インターネット上でHTTPS化への取り組みが加速し、HTTPSページのインデックスされている割合、HTTPSページの閲覧数、閲覧時間が増加しています。

HTTPSページが増加中

Gary Illyes氏の2016/6の発言では、Googleにインデックスされているページの34%はhttpsページとなっているようです。

Key takeaways from the Google AMA: RankBrain, Panda, Penguin, bots & more

Chromeユーザーのhttpsページ表示や利用時間の割合も上昇中

デスクトップユーザーのhttps表示の割合は50%を超えていて、閲覧時間の三分の二はhttpsとなっているようです。モバイルユーザーも上昇傾向ですが、割合はデスクトップユーザーよりは低いです。

Chrome 56 – 2017/1

ブラウザでも警告が表示される

2017年1月のChrome 56のアップデートでは、Chromeでパスワードやクレジットカードを入力するページを表示し、それがhttpの場合には、次のように「保護されていません」というメッセージが表示されるようになりました。

Chrome56 保護されていません
Google Developers Japan
より安全なウェブを目指して より安全なウェブを目指して

Chrome 56のアップデート以降、PC からパスワードやクレジットカード番号を入力する送信フォームのある HTTP ページにアクセスする割合が23%減少したようです。

Chrome 62 – 2017/10

Chrome 62のアップデートでは、「ユーザーが HTTPページにデータを入力した場合と、HTTPページにシークレットモードでアクセスした場合」にも「保護されていません」のメッセージが表示されるようになりました。

Google ウェブマスター向け公式ブ...
Chrome の HTTP 接続におけるセキュリティ強化に向けて Google フレンドリーなサイト制作・運営に関するウェブマスター向け公式情報

2017年の状況については、以下のように報告されています。

  • Windows、Androidの両端末のChromeでは、68%を超えるトラフィックが保護されている
  • Mac、Chrome OSのChromeでは、78%を超えるトラフィックが保護されている
  • ウェブ上のトップ100サイトのうち81サイトがhttpsを標準で使用している

Chrome 68 – 2018/7

2018年7月のChrome68のアップデート時には、全てのhttpサイトが「保護されていません」と表示されるようになります。

Chrome68 このサイトへの接続は保護されていません
Google Online Security Blog
A secure web is here to stay Posted by Emily Schechter, Chrome Security Product Manager For the past several years, we’ve moved toward a more secure web by strongly adv...

Chrome 79 – 2019/12

TLS 1.2以上に対応していないウェブサイトに関しては、Chromeで「保護されていません」のメッセージが表示されます。Search Consoleに登録していればTLS 1.2以上にアップグレードを促すメッセージが届くようです。

2019年10月のGoogle Security Blogで今後の混合コンテンツに対するChromeブラウザでの扱いについてアナウンスされています。

No More Mixed Messages About HTTPS

混合コンテンツとは

混合コンテンツとは、https://ページ上で読み込まれるリソースがセキュアでないhttp://で読み込まれる状態の事を言います。

今後Chomeは段階的にhttps://ページがhttps://サブリソースのみを読み込めるようにしていくようです。
これまでは標準で多くの種類(スクリプトやiframe)の混合コンテンツをブロックしてきましたが、画像やオーディオ、動画は読み込み可能で完全には安全とは言えない状態でした。
今後Chrome 79から段階的に標準で全ての混合コンテンツをブロックしていくようです。
混乱を最小限にとどめる為、https://の混合コンテンツについては自動補正し、そもそもhttps://で利用可能なサブリソースは継続して動作します。

Chrome80、81では、次のように変更されるようです。

Chrome 80 – 2020/2

  • Chromeの標準の設定でhttps://で読み込んだ際に失敗するサブリソースはブロックされます。
  • 混合コンテンツの画像は読み込みは可能ですが、この場合”Not Secure(保護されていません)”と表示されます。

Chrome 81 – 2020/4

  • 混合コンテンツの画像も自動でhttps://経由で読み込まれ、失敗した場合はブロックされます。

ユーザーが閲覧している際に、このようなメッセージや警告が表示されるようになれば、利用を途中でやめてしまう事になるかもしれません。
費用も安くなり、技術的にも移行は簡単になってきていますので、ビジネス向けのウェブサイトであれば対応は必須となるでしょう。

HTTPSに関してよくある質問

アドレス変更ツールは使用できますか?

アドレス変更ツールは使用できません。その代わりにSearch ConsoleでHTTPSサイトを追加します。

A/Bテストはどのようにすべきか?

Googlebotを指定したクローキングを行わず、HTTPSのテストをインデックスさせずに行うには、HTTPへの302リダイレクトrel=”canonicalを使用します。
※302リダイレクトはキャッシュされない
A/Bテストについては、以下のページを参照してください。

ウェブテストが Google 検索に与える影響

robots.txtファイルの設定はどうする?

HTTPSサイトはHTTPSサイト用のrobots.txtファイルを使用します。
ファイルにアクセスできる事を確認し、ファイルが無ければ404レスポンスコードが返されている事を確認する。そしてHTTPのURLがHTTP用のrobots.txtファイルでブロックされていない事も確認する。

一部のページのみHTTPSでも問題ない?

もちろん問題ありません。部分的なテストから開始して、増やしていきましょう。

ただし、English Google Webmaster Central office-hours hangout(2017/9/22)のJohn Mueller氏の発言によると、httpsに移行する場合はウェブサイトの全てのページを一度に移行した方が良いそうです。一度に移行する方がGoogleも理解しやすく、段階的に移行するよりも処理が早いようです。

English Google Webmaster Central office-hours hangout

検索順位が落ちてしまう事はあるか?

規模の大きなサイトでの変更の場合は順位変動はあり得る。保証する事はできないが、GoogleのシステムはHTTPからHTTPSの移転を大抵正常に処理する。

どの証明書が必要か?

Google検索に関して言えば、最近のブラウザで許可されているものであればどの証明書でも許可される。

リダイレクトによってリンクジュースを失う?

いいえ。HTTPからHTTPSへの移転では301でも302でもページランクを失う事は無い。

HTTPからHTTPSへの移行期間はどのくらい?

クロール頻度は固定されていない為、あなたのウェブ氏との規模やクロールのスピードに依存します。
移転はURL単位で処理されます。

自分httpsページから外部httpサイトへのリンクはSEOで問題となる?

非SSLページへのリンクは問題とはならないようです。但し外部リソースの埋め込みに関してはhttpsでなければなりません。

https://twitter.com/JohnMu/status/1232049892014555136?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1232049892014555136%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.allegro-inc.com%2Fseo%2Fgoogle-ssl
混合コンテンツは検索順位に影響するか?

Goolebotのレンダリングに影響することはおそらく無いとの事ですが、Chromeアップデートで混合コンテンツへのアクセスが完全にブロックされて表示されなくなってしまうと、Googleも評価できなくなる事も考えられます。

当サイトでもhttps移行してみました

以下簡単に手順を解説します。

https移行手順

  1. 必要な TLS 証明書を入手してサーバーに設定
  2. サイト内の全ページのサイト内リンクが相対パスかどうかチェック
  3. サイト内の全ページの埋め込み動画、画像、CSS、JavaScript等が相対パスであることを確認
  4. XMLサイトマップがhttpsとなっているかチェック
  5. 正しくcanonical設定がされているかチェック
  6. 301リダイレクトを設定する
  7. 移転

移転後にしばらくしてSearch Consoleで状況を確認できます。左メニューの「ページエクスペリエンス」をクリックして、「HTTPS」のタブをクリックしてみましょう。問題がなければ次のように表示されます。

ページエクスペリエンス - HTTPSレポート
ページエクスペリエンス – HTTPSレポート

301リダイレクト設定は強く推奨されている

GoogleはURL単位での301リダイレクト設定を強く推奨しています。
もしそうでない場合、Googleは再検討したり、そのサイトが一般的なサイト移転とは異なる事をしているのではないかと考え、結果的により多くの時間がかかり、処理を難しくしてしまうようです。

English Google Webmaster Central office-hours hangout

SSL対応の効果と影響 オーガニック検索訪問者数とインデックス数推移

単純にウェブサイトを一気に移行すると、検索順位に影響が出ると推測していましたが特に大きな影響はありませんでした。
以下Google Analyticsのオーガニック検索訪問者数の推移です。

SSL対応の効果と影響

インデックス数の推移はhttpsのウェブサイトとして見ると、急激にGoogleに認識されている事がわかります。XMLサイトマップもSitemap Creatorを使用してhttpsサイトとして更新したものをアップロードしたので、クローラーに明確に意図を伝えられたのかもしれません。

https移行ウェブマスターツール

個別ページ単位でも大きな影響はありませんでしたので、移行時に検索順位が下がるなどの心配はなさそうです。


SSL対応以外の内部SEO要素

Googleが公式に発表した順位決定要素の中には「モバイル対応」であったり、「ウェブサイト高速化」であったりと、時間とともに追加されていきます。

常にGoogleの公式アナウンスをチェックしているのであればSEOに戸惑うことはないかもしれませんが実際は他の業務を担当しながらSEOも行っている担当者がほとんどだと思います。企業のウェブ担当者向けのSEOチェックリストをまとめましたので、よろしければご参考までにご覧ください。

SEO要素チェックリスト | 企業のウェブ・SEO・ブログマーケティング業務担当者向け」で解説しています。

SEOに必要な全ての機能を備えた
総合的なSEOプラットフォーム

キーワード順位取得精度100%
競合SEO/PPC調査
詳細なウェブサイト検査

この記事を書いた人

SEOは考え方はシンプルですが、いざ実践するとなかなか思うようにいきません。
当ブログでは、読者の方に成功も失敗も合わせて情報を共有し、同じような悩みを解決できればという思いで運営しています。
【著書】
分析が導く 最新SEOプラクティカルガイド」(2022年5月27日発売 技術評論社)
最強の効果を生みだす 新しいSEOの教科書」(2017年9月20日発売 技術評論社)

>>著者情報の詳細

Search Times
閉じる