2014年8月、「HTTPSを検索順位を決定する際の判断指標に利用する」とGoogleが公式に発表しました。
参考リンク:HTTPS をランキング シグナルに使用します
順位決定要素としては小さいシグナルではありますが、導入によって競合他社よりSEOの優位性を持てるのであれば、ぜひSSL化したいところです。当然、セキュリティの向上といった点では、ユーザーのメリットにもなる訳ですから、導入する事に特にデメリットは無いように思われます。
しかし、現在の所、商業Webサイトの多くがHTTPSに一本化していません。 2015年から2019年現在にかけて、多くのサイトがSSL化通信を導入したようです。
一方で、導入コストの大きさや現順位の一時的変動・下落など、費用対効果の低さや変動による経営リスクの面から、いまもSSLへの一本化を進めていないWebサイトが過半数を超えているのが現状です。事実、8割近い企業が常時SSLに未対応という調査結果も出ています。
参考リンク:日本情報経済社会推進協会「常時SSL/TLS化調査レポート|企業サイト対応状況」
そこで今回は、弊社ブログで常時SSL化した際の導入手順と、実際の効果を検証してみたいと思います。ぜひ、参考にしてみてください。
目次 SSL(https)とは? SSL導入までの準備(流れ) SSL化によるSEOの効果 まとめ
SSL(https)とは?そもそもhttpとは、いったい何でしょうか。httpsや常時SSL化、そのSEO効果などについて知る前に、まずは大元であるhttpについてみていきましょう。
httpとは、Webブラウザでインターネット通信を行う際に利用されるネットワークプロトコルのことを指します。正式には「Hypertext Transfer Protocol」と言い、Webブラウザのアドレスバーにおいて一番最初に表示されています。 簡単に説明すると、このhttpというのは通信するうえでのルールのようなもので、たとえば、「http://www.abcdefg」であれば、HTTPというルール(プロトコル)に従ってwww.abcdefgというサイトにアクセスしてください、という意味になります。
このhttp通信で行われるのが、ブラウザ(クライアント)とサーバーのやり取りです。 閲覧したいWebページのサーバーに、ブラウザ(クライアント)がHTMLファイルなどを要求。するとサーバー側は要求されたHTMLページをブラウザ(クライアント)へと渡します。 このようにして、ブラウザ(クライアント)がまず真っ先に取得するのがHTMLファイルで、その後紐づけされたCSSや画像ファイル、JavaScriptなどといった別ファイルのデータを順次取得します。その結果、私たちがいつも見ているWebページが表示されるのですが、それらすべてのやり取りが、HTTPというルール(プロトコル)の上に成り立っているのです。HTTPを利用することで、ブラウザ側がどんな媒体・環境であっても、同じ通信方式でやり取りすることができます。
さて、それではhttpとhttpsでは、どう違うのでしょうか。
httpsとは なぜhttpsが生まれたのでしょうか。これはhttpに潜む危険性が原因です。
HTTPプロトコルによる通信は暗号化されていません。それゆえ、第三者の悪意にとても脆弱なのです 暗号化されていないということは、インターネットを利用しただけで、データの改ざんや盗聴の被害に遭ってしまう可能性があり、たとえばお問合せフォームや購入ページなどで入力した個人情報が盗まれてしまうかもしれません。そのため、httpは安全ではないとされています。
図1 Google Chromeでは、HTTPプロトコルによる通信の場合、「保護されていない通信」としてアドレスバーに警告が表示される。
そこで登場したのがhttpsです。
httpsのsとはSecureの略で、「安全な、安定した、保障された」という意味があり、セキュリティが施されているということを明示しています。 httpsでは、※SSL(Secure Socket Layer)というプロトコルを用いて通信しており、その内容は暗号化されているので、第三者による攻撃(中間者攻撃)でデータが改ざんされたり、盗聴されるということが限りなくゼロに近くなります。
※SSLの次世代規格であるTSL(Transport Layer Security)が現在は主流となっていますが、どちらも同じセキュリティプロトコルです。TSLを指している場合でも、言葉が長く普及していることから、SSLと呼ばれることが往々にしてあるようです。また、SSL/TSLとも呼ばれます。
常時SSL化 通信が保護されている場合、上図のようにアドレスバーの先頭に南京錠のマークが付与される。
1990年代にはこのhttpsによる通信が始まっていたのですが、ログインページやフォーム入力ページといった、個人情報が入力されるような一部の場合でのみSSL化されるのが一般的でした。しかし、冒頭でも述べたようにGoogleが順位決定の指標にすると明言したこともあって、現在ではすべてのWebページにSSLを用いた通信(暗号化通信)を施す、「常時SSL化 」が徐々に浸透し始めています。
いまやSSL化されていないページは、アドレスバーに「保護されていない通信」(図1)と表示され、ユーザーにとって安全ではないサイトという認識されるようになっています。また、GoogleもWebブラウザChromeのヘルプにおいて、「保護されていない通信」が表示されるページやサイト自体を利用すべきではないとまで勧告しています。
参考リンク:Google Chromeヘルプ「サイトの接続が安全かどうかを確認する」
通信の安全性を考え、ユーザーの不安を払拭するためにも、まだ設定していないのであれば、常時SSL化は喫緊の課題といえるでしょう。
SSL証明書 HTTPをHTTPS、つまりSSL化するには、SSL証明書を購入しなければなりません。 なお、SSL証明書は3種類あります。以下をご覧ください。
・DV証明書 :ドメイン認証タイプの証明書(Domain Validation) ∟メールなどでドメインのオーナーシップを確認した上で発行される。低コストかつスピーディ。
・OV証明書 :実在認証タイプの証明書(Organization Validation) ∟ドメイン登録者だけでなく、申請した企業の存在まで確認した上で発行される。電話確認があるため、フィッシングサイトなどの取得を防げる。
・EV証明書 :厳格な審査で認証されるタイプの証明書(Extended Validation) ∟OV証明書よりも審査が厳格になり認証に時間がかかるが、高い信頼性が確保されるようになる。アドレスバーには企業名が表示され、ブラウザ次第では緑色になる。
下にいくほど認証レベルが上がり、信頼性が高くなります。 なお、JIPDEC(日本情報経済社会推進協会)による全国の企業等40万件のURLを対象にした調査では、常時SSL化導入の証明書のうち、83.7%がDV認証、14.4%がOV認証、1.9%がEV認証という結果になったそうです。
参考リンク:日本情報経済社会推進協会「常時SSL/TLS化調査レポート|企業サイト対応状況」
SSL導入までの準備(流れ)さて、それではこのマーケティングブログをHTTPSに一本化(常時SSL化の導入)した際のフローを紹介したいと思います。
【1】SSL証明書の購入 サーバーはロリポップを利用しており、管理画面から※GlobalSignのSSL証明書(DV)をインストールしました。 ※SSL証明書の購入には、他にもSymantec社やGeoTrustなどが有名です。
SSL導入にかかった費用は証明書の購入費21,600円のみです。多くのSSL証明書は年間単位の契約となっており、毎年21,600円が運用費用として必要となります。 (※2015年当時の費用です。2019年現在とはコストに多少違いが生じていると思われますが、ご了承ください)
【2】内部リンク、Canononical先の変更 SSL証明書をインストールし、HTTPSでアクセス出来るようになっても、内部リンクやXMLサイトマップ、CanonicalがHTTPS無し(http://)に向いていては意味がありません。
HTTPSのみのアクセスに完全移行する前に、内部リンクやCanonicalなどで指定しているURLを全てHTTPSに書き換えます。
当ブログはCMSにWordpressに利用しており、Wordpressであれば内部リンクの書き換えは管理画面で全て行えます。
Wordpressの管理画面にアクセスし、設定 > 一般設定 で順にアクセスします。Wordpressのアドレスおよびサイトアドレスを「https://」に書き換えます。
基本的にはこれで終わりです。All in One SEOなど一般的なプラグインは基本設定をそのまま読み込みCanonical先URLを設定する為、一般設定を変更すれば問題ないでしょう。個別の設定データを持つプラグインなどは、個別でHTTPSのURLに再設定する必要があります。
【3】http://⇒https://へ301リダイレクト GoogleBotやユーザーに関わらず、http://にアクセスがあった場合は、ステータスコード301でhttps://にリダイレクトします。
公開ファイルがおいてあるrootディレクトリ直下に、下記htaccessを設置しました。
==================== RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://blog.core-j.co.jp/$1 [R=301,L]
====================
【4】Fetch As Google でGoogleBotアクセスをチェック リダイレクト設定が終わったら、GoogleBotが正しくリダイレクトできているか確認します。
※2019年3月28日をもって、旧サーチコンソールのFetch As Googleが利用できなくなりました。現在、この機能は新サーチコンソールの「URL検査」→「インデックス登録をリクエスト」で行うことができます。リダイレクト設定をしたときは、新サーチコンソールでURL検査からインデックス登録をリクエストし、GoogleBotのクロールを促すようにしましょう。
(以下、「【4】Fetch As GoogleでGoogleBotアクセスをチェック」は2015年当時の情報です。ご了承ください) ――――――――――――――――――
サーチコンソール(旧ウエブマスターツール)にログインし、クロール > Fetch As Google の順にアクセスします。
リダイレクトがかかっているページURLを指定し、「取得」をクリックします。GoogleBotに対しても正しくリダイレクトが機能している場合は、ステータス項目に「リダイレクトされました」と表示されます。
更にFetch As Googleで取得したURLをクリックすると、GoogleBot(クローラー)が取得したHTMLとステータスコードを確認できます。
Location:https ://blog.core-j.co.jp/ と正しいURLが指定されており、尚且つ301ステータスコードでリダイレクトが成されている事が確認できました。
――――――――――――――――――
【5】HTTPSのサーチコンソールを登録 サーチコンソールは、設定の変更ができないので、プロトコル別(httpsを追加)の登録が必要です。
サーチコンソールの管理画面から新しいプロパティ追加をクリックし、https://で始まるURLで新しく追加します。
■□
これで、常時SSL化への準備は完了です。サーチコンソールやXMLサイトマップを用いて、Googleに再クローリングを促進させてみましょう。
SSL化によるSEOの効果SSL証明書および工数を考慮しますと、当ブログでの常時SSL化導入コストはすでに3万円を超えています。このコストに見合った効果(SEO、検索順位上昇など)はどの位あったのでしょうか。実際に検証してみました。
インデックスの移行推移 先ずは、http://からhttps://へ、どの位の時間を掛けて各ページのインデックスが移行するのか調査。サーチコンソールで確認できるクローラー回遊数と、URL別のhttps://変化数を追いました。
Googleクローラーのアクセス推移 では、まずGoogleクローラーのアクセス数に変化があるか見てみましょう。
今回はより早くhttpS://へ移行するべく、XMLサイトマップを用いて全ページへの回遊促進を行いました。
SSL導入後の3日後には過去最高の回遊数(150ページしか無いWebサイトに1000回以上ものBotアクセス)を記録。恐らく、6月1日の段階でドメイン「blog.core-j.co.jp」配下の全ページはSSLでしかアクセスできない、とGoogleは把握したのではないかと思われます。
SERPsに表示されるHTTPS数の推移 常時SSL化を導入した5月28日段階で主要流入ページのURLを抽出し、各ページの検索結果(SERPs)に表示されるURLを取得。URLがhttpからhttpsに変化する推移を追いました。
SSL導入から2週間経過した今、殆どのページがHTTPSで検索結果に表示されるようになりました。
インデックス変化推移を見ると、クローラーが全ページのSSLを認識してから約2~4日経過した後、SERPsに反映されるようです。恐らく、GoogleクローラーがHTTPSへの移行を即時検知したとしても、その変化を実際のGoogleIndexに反映(再構築)するのには数日間の時間を要している可能性があります。この為、1日ではSERPsに表示される全てのURLがhttps://に置き換わらないと考えられます。
以上から、膨大なページを持つ大規模サイトの場合、全インデックスをHTTPSに移行するにはかなりの時間を要することでしょう。
検索順位 実際に常時SSL化したことで、検索順位は変化したのでしょうか?
下記グラフは、当ブログの主要キーワード122個の順位推移です。
ほとんど変化は見られないようですが、11位~20位(Google検索結果の2ページ目)にランクインしているキーワード個数が21個⇒28個に増加しています。
SSL導入前から流入に寄与していたキーワードの順位はほとんど変動せず、横ばいで推移しました。ただし、過去ほとんど順位上昇が見られず、流入貢献も低かったキーワードがSSL導入後、2ページ目に入り始めたりと若干のSEO効果(検索順位上昇)も見られました。
一部キーワードの上昇は見られましたが、サイト全体ではSSL導入前も導入後もほとんど変化はありませんでした。Googleも「小さなシグナル」と言っている様に、HTTPS化したからといって順位が劇的に変動することはなさそうです。
また、インデックスがhttp://からhttps://へ移行する時、一時的な順位変動があるかと想定していましたが、変動はほとんど見られませんでした。
検索結果にURLが表示される回数 サーチコンソールには、検索アナリティクス(クエリ)という効果測定機能があります。
この検索アナリティクス(クエリ)で確認できる「表示回数」は、Googleの検索結果にドメインが表示された回数を表示しており、主要ワードのみならずテールワードなどの順位上下変動をサイト単位で測る事ができます。
上のグラフは、当ブログの検索表示回数を示したグラフです。
SSL導入後の平日の表示回数が、導入前よりも増加している事が分かります。
直近公開した記事が評価されサイト全体の表示回数を押し上げたのか、もしくは常時SSL化によってテールワードの表示が増えたのか、その直接的な要因は分かりませんが、SSL導入後に表示回数が上がっているのは確かです。
検索エンジン経由のアクセス数 最も重要な指標である流入数は、どう変化したでしょうか?
当ブログは曜日単位で流入数が大幅に変化する為、導入前と後の1週間の流入数を曜日毎に比較してみました。
青の棒グラフがHTTP時のオーガニック流入数、オレンジ色の棒グラフがHTTPS後のデイリーアクセス数です。 アクセス数は殆ど変化していないように見えます。若干流入が伸びている曜日もありますが、それでも全体に対し極わずかの伸びです。
下記表は、導入前と後の流入を増減比率で比較しています。SSL前のデイリーアクセスを1とした場合、SSL後の同曜日の流入数がどれだけ増減したかを示しています。
1週間通して増減した割合は「1割」でした。10%未満のアクセス増があったと言えます。
SSL化のデメリット プロトコルが変わると、異なるURLとして扱われるため、https://前に付いたFacebookいいねやはてなブックマーク数がhttps://ページで表示されなくなります。
サーバー側でhttp://とhttps://のソーシャルシグナルを取得し合算値を表示すれば解決しますが、構築までのコストがかかる為、今回はそのままにしました。
効果測定のまとめ(SEO効果はあったのか?) ●アクセス数:1割の増加は見られたが、確実に常時SSL化による効果とは分からない。
●検索順位:ほとんど変化なし。一部キーワード群が上昇したが、流入には寄与せず。
●インデックス推移:SSL移行後、インデックスがHTTPSに切り替わるまでに1週間以上を要した。
●順位変動:インデックスが切り替わるタイミングで一部キーワードが変動。しかし、すぐに戻る。
まとめ常時SSL化はユーザーのセキュリティ向上と言う意味からも導入メリットはある施策ですが、SEOの効果は期待せずに実施した方が良さそうです。
実際に当ブログもSSL一本化を行いましたが、検索順位や流入数の目立った伸びは見られませんでした。あくまでも、セキュリティ向上を目的に導入すると良いでしょう。
尚、弊社のSERPsモニタリングツールでは1位~10位のHTTPS占有率を毎日監視しており、1ページ目におけるHTTPS比率を算出しています。(※数値は2015年当時のものです。現在は計測しておりませんので、ご了承ください )
数千キーワードの検索結果を見る限り、1ページ目にランクインするサイトの内、SSLを導入している割合は7%と前後と極めて低いのが現状です。 (※2019年現在、SERPsの1ページ目に表示されるURLのうちhttpsが占める割合は9割にものぼる、という報告もあるようです)
以上から、SSLの導入および一本化はあくまでもSEO効果を狙うというよりは、ユーザーセキュリティの向上を主の目的として実施するのが良いでしょう。