HTTPとHTTPSの違いは、「通信が暗号化されているかどうか」の一点に尽きます。一見小さな差に見えますが、サイトの安全性・SEO評価・ユーザーの信頼感に直結する重要なポイントです。
この記事では、両者の定義と仕組みの違いから、HTTPS化がSEOに与える影響、そして実際の移行手順まで、Webサイト担当者が知っておくべき内容をわかりやすく解説します。「まだHTTPのままで大丈夫?」と迷っている方は、ぜひ最後まで読んでみてください。
HTTPとは?通信プロトコルの基本
HTTPは「HyperText Transfer Protocol」の略で、WebブラウザとWebサーバーの間でデータをやり取りするための通信規約(プロトコル)です。ブラウザがリクエストを送り、サーバーがレスポンスを返す「リクエスト/レスポンス型」のシンプルな仕組みで動いています。
大きな問題は、データが平文(暗号化されていない状態)のまま送受信される点です。通信を第三者に傍受・改ざんされるリスクがあり、ログイン情報やフォームの入力内容が丸見えになる危険性を持っています。
HTTPはデフォルトでポート80番を使用します。これはHTTPSとの大きな違いのひとつで、次のセクションで詳しく比較していきます。HTTPとHTTPSの差を正しく理解するための前提として、まずこの基本を押さえておきましょう。
- WebブラウザとWebサーバー間の通信規約(プロトコル)
- リクエスト/レスポンス型の仕組みで動作
- データは平文で送受信されるため暗号化なし
- デフォルトのポート番号は80番
HTTPSとは?HTTPに暗号化を加えたプロトコル
HTTPSは「HyperText Transfer Protocol Secure」の略称です。末尾の「S」はSecure(セキュア=安全)を意味し、SSL/TLSという暗号化プロトコルを組み合わせたHTTP通信のことを指します。URLが「https://」から始まり、ブラウザのアドレスバーで一目見分けられます。
通常のHTTPは、送受信するデータをそのままやり取りします。一方HTTPSは通信内容を暗号化するため、万が一第三者に傍受されても、内容を読み解くことができません。
暗号化に加え、HTTPSには「通信相手の本人性を証明する認証機能」も備わっています。アクセス先のサーバーが本物かどうかを証明するため、なりすましサイトへの誘導を防ぐ効果も期待できます。
- 通信内容の暗号化(傍受・盗聴を防ぐ)
- 通信相手の認証(なりすましを防ぐ)
HTTPとHTTPSの違いを4つの観点で比較
HTTPとHTTPSは、4つの観点で明確に異なります。まず全体像を比較表で確認してから、各項目を詳しく解説します。現時点での結論を一言で伝えると、HTTPSが現在のWebスタンダードであり、新規・既存サイトを問わずHTTPS化が前提となっています。
| 比較軸 | HTTP | HTTPS |
|---|---|---|
| 暗号化 | なし(平文通信) | あり(SSL/TLS) |
| ポート番号 | 80番 | 443番 |
| ブラウザ表示 | 「保護されていない通信」と警告 | 南京錠(鍵)マーク |
| SEOへの影響 | 順位上のリスクあり | ランキングシグナルとして有利 |
暗号化の有無:通信内容が守られるかどうか
HTTPは通信データを平文(暗号化されていない状態)のままやり取りします。通信経路上の第三者に傍受・改ざんされるリスクがあり、たとえばECサイトでクレジットカード番号を入力した場合、その情報が外部から読み取られる可能性があります。
HTTPSはSSL/TLS(暗号化通信プロトコル)によって通信内容を保護します。仮に通信が傍受されても、暗号化されているため内容を解読できません。
HTTPSが担保する主な機能は次の3点です。
- 暗号化:通信内容を第三者が読み取れない状態にする
- データ改ざん検知:送受信中にデータが書き換えられていないか確認する
- なりすまし防止:接続先が本物のサーバーであることを証明する
使用するポート番号の違い(80番 vs 443番)
HTTPのデフォルトポートは80番、HTTPSのデフォルトポートは443番です。ポート番号とは、コンピュータ上でデータ通信を行う際の「出入口の番号」です。住所(IPアドレス)に対する部屋番号のようなものとイメージするとわかりやすいでしょう。
通常のWebアクセスでは、URLにポート番号を省略して記述できます。https://example.com と入力するだけで、ブラウザが自動的に443番ポートへ接続するため、ユーザーが番号を意識する場面はほぼありません。
ブラウザでの表示の違い:鍵マークと警告表示
HTTPSのサイトにアクセスすると、ブラウザのアドレスバーに南京錠(鍵)マークが表示されます。通信の安全性を視覚的に確認できるため、ユーザーに安心感を与えます。
一方、HTTPのサイトではGoogle Chromeをはじめとするモダンブラウザが「保護されていない通信」と警告を表示します。この仕様はChrome 68(2018年7月リリース)から全非SSLページに適用され、Chrome 70(2018年10月リリース)からはフォーム入力時に赤文字警告へと切り替わりました。
- 鍵マークは「通信が暗号化されている」ことを示すのみで、サイト自体の安全性・信頼性を保証するわけではない
- HTTPSページ内にHTTPの画像やスクリプトが混在する「混合コンテンツ」の状態では、鍵マークが表示されず警告が出る場合がある
SEO(検索順位)への影響の違い
GoogleはHTTPSを2014年8月にランキングシグナルとして採用することを公式発表しました。
(出典: Google ウェブマスター向け公式ブログ「HTTPS をランキング シグナルに使用します」)
現在ではHTTPS化は事実上の必須要件となっています。非HTTPSサイトはブラウザの警告表示によって直帰率の悪化などユーザー行動にも悪影響を与えます。結果として検索パフォーマンス全体を押し下げるリスクがあります。
ただし、HTTPSはランキングシグナルの一つにすぎません。コンテンツの質・被リンクなど他のシグナルの方が順位への影響は大きく、HTTPS化だけで順位が大きく上がるわけではありません。正確には「順位を上げる手段」ではなく「順位を落とさないための前提条件」と理解するのが適切です。
- HTTPは平文通信、HTTPSはSSL/TLSで暗号化
- HTTPは80番ポート、HTTPSは443番ポート
- HTTPは警告表示、HTTPSは鍵マーク表示
- HTTPS化はSEO順位維持の必須要件
HTTPSを導入するメリット
HTTPS化はリスク回避だけが目的ではありません。導入によってサイトにポジティブな変化をもたらす効果も多く存在します。セキュリティ・パフォーマンス・ユーザー体験・ビジネス面の4つの観点から整理します。
- 通信の安全性が高まり、情報漏えいや改ざんを防げる
- HTTP/2が利用可能になり、表示速度が改善するケースがある
- ブラウザの警告が消え、ユーザーの信頼感が向上する
- 検索エンジンでの評価が安定し、集客面での競争力を維持できる
通信の安全性が高まる
SSL/TLSによる暗号化で、ユーザーとサーバー間の通信が第三者に読み取られる心配がなくなります。ログイン情報・フォーム入力内容・決済情報など、機密性の高いデータを扱うページでは特に重要な効果です。
また、データの完全性を検証する仕組みも備わっているため、通信途中でのコンテンツ改ざん(広告差し替えやマルウェア挿入)も防ぐことができます。
HTTP/2が利用可能になり表示速度が改善しやすくなる
HTTP/2はHTTPS接続を前提として設計された新しい通信規格です。HTTP/1.1と比べて、以下の点で通信効率が大幅に改善されています。
- 多重化:複数のリクエストを同時並列で処理できる
- ヘッダー圧縮:通信データ量を削減できる
- サーバープッシュ:必要なリソースを先回りして送信できる
HTTPS化することでHTTP/2を有効にできるサーバー環境が多く、結果としてページの表示速度が向上するケースがあります。「HTTPSにすると遅くなる」というのは過去の認識であり、現在は逆に速くなることも珍しくありません。
ユーザーの信頼感が向上する
アドレスバーに鍵マークが表示されることで、ユーザーは「このサイトは安全に通信できる」という視覚的な安心感を得られます。逆にHTTPのまま「保護されていない通信」と警告が出るサイトは、初めて訪れるユーザーに不安感を与え、離脱率の上昇につながります。
特に問い合わせフォームや購入画面では、この心理的ハードルの差がコンバージョン率に直結します。HTTPS化はユーザー体験の改善という観点でも、無視できない効果を持ちます。
検索エンジンでの評価が安定する
GoogleはHTTPSをランキングシグナルとして採用しており、HTTPS化は現在では検索上位を目指すうえでの前提条件となっています。競合サイトがすでにHTTPS化を完了している中でHTTPのままでいることは、相対的な評価の低下を招くリスクがあります。
また、ブラウザ警告による離脱率上昇がユーザーシグナルとして検索評価に影響する可能性もあります。HTTPS化は「SEO対策の一手」というよりも、現在の検索競争を戦ううえで欠かせない基盤と位置づけるべきです。
HTTPSの仕組み:SSL/TLSによる暗号化

「なぜHTTPSは安全なのか」——その技術的な根拠を、このセクションで丁寧に解説します。SSL/TLS・公開鍵・ハンドシェイクといった専門用語も、順を追って説明するので、IT知識がない方でも無理なく読み進められます。
SSL/TLSとは何か
SSL(Secure Sockets Layer)は、Netscape社が設計した暗号化通信プロトコルです。TLS(Transport Layer Security)はSSLの後継規格として標準化されたもので、現在の通信では実質的にTLSが使われています。
ただし「SSL」という呼び名がすでに広く定着しているため、業界では「SSL/TLS」や「常時SSL」という表現が引き続き使われています。
なお、SSL 3.0は2014年にPOODLEという脆弱性が発見されて以降廃止されました。現在の推奨バージョンはTLS 1.2またはTLS 1.3です。
SSL/TLSは、次の3つの機能をまとめて提供します。
- データの暗号化(第三者への情報漏えいを防ぐ)
- データ完全性の確保(通信途中の改ざんを検知する)
- 通信相手の認証(なりすましを防止する)
暗号化に使われる鍵の仕組み
HTTPSの暗号化には、2種類の方式が組み合わさっています。まずそれぞれの仕組みを整理しておきましょう。
| 方式 | 仕組み | 特徴 |
|---|---|---|
| 共通鍵暗号 | 暗号化・復号に同じ鍵を使う | 処理が速いが鍵の配布が課題 |
| 公開鍵暗号 | 公開鍵で暗号化、秘密鍵で復号 | 鍵管理が容易だが処理が遅い |
公開鍵と秘密鍵の関係は、こう考えるとわかりやすいです。「公開鍵は誰でも使える南京錠、秘密鍵はその南京錠を開けられる唯一の鍵」——公開鍵でロックした情報は、対になる秘密鍵がなければきっと開けられません。
HTTPSはこの2方式を組み合わせた「ハイブリッド方式」で動作します。鍵の交換には公開鍵暗号を使い、実際の大量データのやり取りには処理の速い共通鍵暗号を使うことで、安全性とスピードを両立しています。
SSL/TLSハンドシェイクの流れ
ハンドシェイクとは、ブラウザとサーバーが安全な通信路を確立するための事前交渉のことです。実際には接続のたびに自動で行われるため、ユーザーが意識する必要はありません。
大きな流れは次の4ステップです。
- ブラウザが接続要求(Client Hello)を送信。使用可能なTLSバージョンや暗号スイートの一覧をサーバーに提示する
- サーバーがSSL証明書と公開鍵を返送(Server Hello)。使用するTLSバージョンと暗号スイートを確定する
- ブラウザが証明書の正当性を認証局(CA)に確認。問題なければ共通鍵(セッション鍵)を生成し、公開鍵で暗号化してサーバーへ送る
- サーバーが秘密鍵で共通鍵を復号。以降の通信はこの共通鍵で暗号化して行う
SSLサーバー証明書の認証レベルの違い(DV・OV・EV)
SSL証明書にはDV・OV・EVの3種類があり、認証の厳しさが異なります。暗号化の強度はどの種類でも同じです。違いは「サイト運営者の実在確認がどこまで行われているか」という点にあります。
| 種類 | 確認内容 | 発行期間 | 向いているサイト |
|---|---|---|---|
| DV(ドメイン認証) | ドメインの管理権限のみ | 即時〜数時間 | 個人ブログ・小規模サイト |
| OV(組織認証) | ドメイン+企業の実在確認 | 数日 | 中小企業の公式サイト・ECサイト |
| EV(拡張認証) | 法的実在性・所在地・担当者の雇用確認など多段階審査 | 1〜2週間 | 金融機関・大規模ECサイト |
Let’s Encryptなど無料で取得できる証明書はすべてDVです。個人でも即時に取得できる手軽さがある一方、サイト運営者の実在確認は行われません。
かつてEV証明書はアドレスバーが緑色になり企業名が表示されていましたが、現在の主要ブラウザではその表示仕様は廃止されています。
鍵マーク(🔒)が表示されているからといって、そのサイトが安全とは限りません。フィッシングサイトがDV証明書を取得してHTTPS化しているケースがあるため、「鍵マーク=信頼できるサイト」という判断は誤解です。
- 現在使われているのはSSLではなくTLS(1.2または1.3が推奨)
- SSL/TLSは暗号化・改ざん検知・認証の3機能を提供する
- HTTPSは公開鍵暗号と共通鍵暗号を組み合わせたハイブリッド方式で動作する
- 証明書の種類(DV/OV/EV)は暗号強度ではなく運営者の認証レベルで異なる
- 鍵マークがあってもフィッシングサイトである可能性があるため注意が必要
HTTPSを導入しないリスク
「自分のサイトには関係ない」と思っていませんか。HTTPのまま放置することは、対岸の火事ではありません。セキュリティ・ブラウザ表示・SEOの三方向から、サイトの信頼性と集客力を同時に損なうリスクが生じます。
- ブラウザに「保護されていない通信」警告が表示される
- 通信内容を盗聴・改ざんされる危険性がある
- フリーWi-Fi利用時にCookieが盗まれるリスクがある
- 検索順位が下がりサイトへの流入が減少する
ブラウザに「保護されていない通信」警告が表示される
Google ChromeはChrome 68(2018年7月)以降、すべての非SSLページのアドレスバーに「保護されていない通信」を常時表示するようになりました。さらにChrome 70(2018年10月)以降は、フォームに文字を入力した瞬間に警告が赤文字へ切り替わります。
この警告を見たユーザーは「情報が抜き取られるかもしれない」と不安を感じ、ページから離脱しやすくなります。問い合わせフォームや購入画面での心理的ハードルが上がるため、コンバージョン(CV・成約)に直接影響します。
ビジネスサイトやECサイトでは、警告表示がブランドイメージの毀損にもつながります。「安心して使えるサービスか」という第一印象は、アドレスバーの一文字で決まることがあります。
通信内容を盗聴・改ざんされる危険性がある
HTTPでは通信データが「平文(ひらぶん)」のまま送受信されます。通信経路上にいる第三者が内容を傍受できるため、パスワード・氏名・住所・クレジットカード番号といった個人情報が筒抜けになるリスクがあります。
さらに怖いのが「改ざん」です。盗聴にとどまらず、通信内容を途中で書き換えることも技術的に可能です。広告を差し替えられたり、マルウェア(悪意のあるプログラム)を挿入されたりするケースが実際に報告されています。
HTTPSはハッシュ関数を用いたデータ検証の仕組みを持つため、通信内容が途中で変更されると即座に検知できます。この改ざん検知機能がHTTPには存在しないことが、根本的な危険性の差です。
フリーWi-Fi利用時にCookieが盗まれるリスクがある
カフェや空港などの公共フリーWi-Fiは、通信が暗号化されていないケースがあります。同じネットワーク上にいる第三者が通信を傍受できる環境になり得るため、HTTPサイトでのログインは特に危険です。
HTTPサイトでログインするとセッションCookie(ログイン状態を維持する情報)が平文で流れます。これを悪用した「セッションハイジャック」と呼ばれる攻撃を受けると、第三者にアカウントを乗っ取られる可能性があります。
HTTPSであれば通信が暗号化されるため、同じフリーWi-Fi環境でも盗聴やハイジャックのリスクを大幅に低減できます。フリーWi-Fiスポットの普及に伴い、常時SSL化(すべてのページをHTTPS化すること)の重要性はますます高まっています。
検索順位が下がりサイトへの流入が減少する
Googleは2014年8月、HTTPSをランキングシグナル(検索順位を決める要因の一つ)として採用することを公式発表しました。現在、HTTPS化は「優位に立つ手段」ではなく「最低限満たすべき要件」と位置づけられています。(出典: Google ウェブマスター向け公式ブログ「HTTPS をランキング シグナルに使用します」)
検索上位に表示されているサイトの大多数はすでにHTTPS化を完了しています。非HTTPSのままでは、競合との比較で相対的に不利な評価を受けるリスクが現実的に存在します。
加えて、ブラウザ警告による離脱率の上昇がユーザーシグナル(Googleが検索品質の参考にするユーザー行動データ)として評価に影響する可能性もあります。短期的な順位低下だけでなく、長期的な自然検索流入の機会損失にもつながる点を見落とさないようにしましょう。
- アドレスバーに赤い警告が表示され、ユーザーが離脱する
- パスワードや個人情報が盗聴・改ざんされるリスクがある
- フリーWi-Fiでセッションハイジャックの標的になりやすい
- 検索順位で競合サイトに後れを取り、流入が減少する

HTTPSに関するよくある誤解
「HTTPSなら安心」と思っているなら、少し立ち止まってください。HTTPS化はセキュリティの第一歩ですが、過信がかえって危険な行動を招くことがあります。ここでは実際に広く信じられている誤解を取り上げ、正しい知識をお伝えします。
- 「HTTPSなら安全なサイトのはず」は間違い
- 「HTTPSにすればハッキングを完全に防げる」は間違い
- 「HTTPSにすると表示速度が遅くなる」は間違い
- 「鍵マークがあれば個人情報を入力しても大丈夫」は間違い
- 「無料SSLは有料SSLより弱い暗号化しかできない」は間違い
「HTTPSなら安全なサイトのはず」は間違い
ブラウザの鍵マーク(錠前アイコン)が示すのは、「ブラウザとサーバー間の通信が暗号化されている」という事実だけです。サイト運営者が信頼できるかどうかとは、まったく別の話になります。
HTTPS証明書の中でもっとも手軽なDV証明書(ドメイン認証型)は、ドメインの管理権さえ確認できれば取得できます。つまり、フィッシング詐欺サイトも容易にHTTPS化して鍵マークを表示できるのです。
「鍵マークがあるから個人情報を入力しても大丈夫」という判断は危険です。サイトの信頼性を確かめるには、URLのスペルを注意深く確認する・OVやEV証明書の組織情報を確認するなど、複合的な判断が必要です。
「HTTPSにすればハッキングを完全に防げる」は間違い
HTTPSが防ぐのは、通信経路上での盗聴・改ざん・なりすましです。サーバー自体への不正アクセスや、Webアプリケーションの脆弱性を突いた攻撃には効果がありません。
たとえばSQLインジェクション(データベースを不正操作する攻撃)やXSS(クロスサイトスクリプティング:悪意あるスクリプトを埋め込む攻撃)は、HTTPS化の有無に関係なく発生します。
「HTTPS化=セキュリティ対策完了」と思い込み、他の対策を怠るのがもっとも危険な状態です。WAF(Webアプリケーションファイアウォール)の導入・サーバーの脆弱性管理・定期的なセキュリティ診断など、多層的な対策を組み合わせることが重要です。
HTTPS化はセキュリティ対策の一要素に過ぎません。「対策完了」ではなく「対策の入口」として位置づけましょう。
「HTTPSにすると表示速度が遅くなる」は間違い
かつてはSSL/TLSハンドシェイク(通信開始時の認証処理)のオーバーヘッドで速度低下が懸念されていました。しかし現在は、TLS 1.3やHTTP/2の普及によりそのデメリットはほぼ解消されています。
HTTP/2はHTTPS接続を前提として設計されており、多重化(複数のリクエストを同時処理)やヘッダー圧縮などの機能によって、むしろHTTP/1.1より高速な通信が実現するケースがあります。
「HTTPS化で速度が遅くなった」と感じる場合、原因は証明書の設定ミスや混合コンテンツ(HTTPSページ内にHTTPリソースが混在している状態)であることがほとんどです。速度低下はHTTPS自体の問題ではなく、設定や実装の問題と考えてください。
「鍵マークがあれば個人情報を入力しても大丈夫」は間違い
鍵マークはあくまで「通信が暗号化されていること」を示すだけであり、サイトの運営者が誰であるかを保証するものではありません。前述のとおり、フィッシングサイトもDV証明書を取得してHTTPS化し、鍵マークを表示することができます。
個人情報を入力する前には、URLのドメインが正規のものかどうかをぜひ確認する習慣が重要です。微妙に異なるスペル(例:「amaz0n.com」)や、見慣れない国のドメイン(.xyz、.topなど)には特に注意しましょう。
「無料SSLは有料SSLより弱い暗号化しかできない」は間違い
無料SSL(Let’s Encryptなど)と有料SSLの違いは暗号化の強度ではなく、認証レベルにあります。どちらも同等のTLS暗号化を使用しており、通信を守る機能に差はありません。
無料のDV証明書はドメインの所有確認のみを行うのに対し、有料のOV・EV証明書は組織の実在性まで審査します。個人ブログや小規模サイトであれば無料のDV証明書で十分であり、「無料だから安全性が低い」という認識は誤りです。
- 鍵マークがあるからとURLを確認せずに個人情報を入力する
- HTTPS化しただけでセキュリティ対策が完了したと判断する
- 速度低下を恐れてHTTPS化を後回しにする
HTTPからHTTPSへの移行手順

HTTPS化の作業は、大きく5つのステップで完結します。
- SSL/TLS証明書の種類を選ぶ
- 証明書を取得・サーバーにインストールする
- 内部リンク・画像URLをHTTPSに書き換える
- 301リダイレクトを設定してHTTPへのアクセスを転送する
- Googleサーチコンソール・アナリティクスの設定を更新する
作業前にサイトデータのバックアップをぜひ取得してください。本番環境で一括変更するのではなく、可能であればテスト環境で動作確認してから本番に反映することをおすすめします。
SSL/TLS証明書の種類を選ぶ(無料 vs 有料の違い)
証明書には暗号化レベルの違いはなく、「認証局がサイト運営者の身元をどこまで確認したか」の深さによってDV・OV・EVの3種類に分かれます。まず自分のサイトに合った種類を選ぶことが出発点です。
| 種類 | 認証レベル | 向いているサイト | 費用感 |
|---|---|---|---|
| DV | ドメイン所有の確認のみ | 個人ブログ・小規模サイト | 無料〜数千円/年 |
| OV | 組織の実在確認あり | 中小企業公式サイト・ECサイト | 数万円/年 |
| EV | 厳格な法人審査あり | 金融機関・大規模ECサイト | 数万〜十数万円/年 |
無料SSLの代表格であるLet’s EncryptはDV証明書のみを提供する非営利の認証局で、暗号化の強度は有料の商用証明書と同等です。ただし有効期限が90日と短いため、自動更新の設定が必要になります。また、組織の実在証明は行えません。
有料のOV・EV証明書が必要なケースは以下のとおりです。
- 法人サイト・ECサイト・金融機関でOV/EV証明書が求められる場合
- HTTP-01認証によるワイルドカード証明書を取得したい場合
- 取引先から商用SSLの使用を指定されている場合
SSL/TLS証明書を取得・サーバーにインストールする
証明書の取得には、まずサーバー上でCSR(Certificate Signing Request:証明書署名要求)を生成する必要があります。CSRにはコモンネーム・組織名・所在地などの情報を含め、認証局(CA)に申請します。
サーバーへのインストール手順はApache・Nginx・IISなどサーバーソフトウェアによって異なります。使用しているサーバーの公式ドキュメントに従って進めてください。
インストール後は、ブラウザのアドレスバーにhttps://のURLを入力して鍵マークが表示されるかを確認しましょう。SSL Server Test(SSL Labs提供)などの検証ツールを使うと、証明書の有効性や設定の安全性を詳しくチェックできます。
内部リンク・画像URLをHTTPSに書き換える
サイト内の内部リンク・画像・CSS・JavaScript・動画埋め込みなどのURLがhttp://のままだと「混合コンテンツ(Mixed Content)」となります。この状態ではブラウザが警告を表示したり、一部のコンテンツをブロックしたりします。
WordPressの場合は、管理画面の「設定 > 一般」でWordPressアドレスとサイトアドレスをhttpsに変更するのが最初のステップです。データベース内に残ったhttp URLは「Search Replace DB」などのプラグインや専用ツールで一括置換すると効率的です。
書き換え後も、ハードコーディングされたhttp URLが残っていないかをサイト全体でクロールして確認することをおすすめします。Googleサーチコンソールのカバレッジレポートや専用のクロールツールが役立ちます。
301リダイレクトを設定してHTTPへのアクセスを転送する
既存のhttp://へのアクセスを301リダイレクトですべてhttps://に転送することで、旧URLへの被リンクが持つSEO評価を引き継ぐことができます。移行後のSEO損失を最小限に抑える、重要な設定です。
Apache環境の場合
.htaccessファイルに以下を追記します。
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Nginx環境の場合
設定ファイルのhttpブロックに以下を記述します。
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}
設定後はリダイレクトループ(http→https→http→…と無限に繰り返す状態)が発生していないか、ブラウザの開発者ツール(ネットワークタブ)でぜひ確認してください。
Googleサーチコンソール・アナリティクスの設定を更新する
サーバー側の設定が完了したら、計測ツールの更新も忘れずに行いましょう。設定を放置すると、移行後のデータが正しく取得できなくなります。
- Googleサーチコンソールにhttps://版のプロパティを新たに追加する
- サイトマップをhttps版のURLで再送信する
- http版プロパティも当面は残しておき、データを比較できる状態にする
- GA4のデータストリームで計測対象URLをhttps://に更新する
- GA4の目標・フィルタ設定もhttps版に合わせて確認・修正する
外部サイトからの被リンクやSNSシェアのURLがhttpのままであっても、301リダイレクトで対応できます。ただし、重要なリンク元には可能な限りhttps版URLへの更新を依頼すると、より確実に評価を引き継げます。
移行後はサーチコンソールでインデックスステータスとクロールエラーを定期的にモニタリングし、https版が正しくインデックスされているかを継続的に確認しましょう。
- DV・OV・EVの違いは暗号化強度ではなく「身元確認の深さ」
- 個人・小規模サイトはLet’s Encryptで十分。法人・ECはOV以上を検討
- 混合コンテンツが残るとブラウザ警告が出るため、内部URLの一括置換が必須
- 301リダイレクトで旧URLのSEO評価を引き継ぐ
- 移行後はサーチコンソールとGA4の設定を忘れずに更新する
よくある質問
QHTTPSに変えるとURLは変わりますか?既存のブックマークはどうなりますか?
AURLの冒頭がhttp://からhttps://に変わるため、厳密にはURLが変更されます。ただし、301リダイレクトを正しく設定すれば、古いhttp://のURLへのアクセスは自動的にhttps://へ転送されます。既存のブックマークやリンクも引き続き利用可能です。転送時にわずかなラグが生じる場合があるため、可能であればブックマークをhttps版に更新しておくとより安心です。
Q鍵マークが表示されていればぜひ安全なサイトといえますか?
A鍵マーク(南京錠アイコン)は、ブラウザとサーバー間の通信が暗号化されていることを示すだけです。サイト自体の安全性や運営者の信頼性とは無関係であるため、フィッシングサイトでも鍵マークは表示されます。URLのドメインが正しいか、またOV・EV証明書で組織情報が確認できるかを合わせてチェックするようにしてください。
QWordPressなどのCMSでも簡単にHTTPS化できますか?
A多くのレンタルサーバーはコントロールパネルからSSL証明書を数クリックで適用できます。WordPressでも比較的簡単にHTTPS化が可能です。ただし証明書の適用後は、「WordPress設定のURL変更」「混合コンテンツ(http参照)の書き換え」「301リダイレクト設定」の3ステップが別途必要です。「Really Simple SSL」などの専用プラグインを使うと、混合コンテンツの修正を自動化できて便利です。
QHTTPのサイトを閲覧・情報入力してしまった場合はどうすればよいですか?
A閲覧しただけであれば、通常は直ちに被害が生じるわけではありません。ただし、パスワードやクレジットカード番号などを入力した場合は傍受されたリスクがあるため、パスワードの変更・カード会社への連絡を速やかに行ってください。フリーWi-Fi環境でHTTPサイトに情報を入力した場合は特にリスクが高いため、早急な対処をおすすめします。
Q無料SSLと有料SSLは何が違いますか?どちらを選ぶべきですか?
A暗号化の強度に違いはなく、どちらも通信を安全に守る機能は同等です。最大の違いは認証レベルにあります。無料SSL(Let’s Encryptなど)はDV証明書のみで、組織の実在確認は行われません。有料SSLではOV・EV証明書も取得でき、組織の信頼性をより高くアピールできます。個人ブログや小規模サイトには無料のDV証明書で十分ですが、法人の公式サイト・ECサイト・金融系サービスでは有料のOV/EV証明書を検討してください。
まとめ:HTTPとHTTPSの違いを理解してサイトの安全性を高めよう
この記事では、HTTPとHTTPSの仕組みの違いから、HTTPS化のメリット・移行手順まで解説しました。最後に要点を整理して、次のアクションにつなげましょう。
- HTTPは暗号化なし・ポート80番。データが平文で送受信されるため、盗聴・改ざんのリスクがある
- HTTPSはHTTP+SSL/TLS暗号化。ポート443番で通信を保護し、盗聴・改ざん・なりすましを防ぐ
- ブラウザ表示はHTTPが「保護されていない通信」警告、HTTPSは鍵マーク表示
- GoogleはHTTPSを2014年にランキングシグナルと公式発表。現在はHTTPS化が事実上の標準
- SSL証明書の種類(DV・OV・EV)で認証レベルは異なるが、暗号化の強度はすべて同等
- HTTPS化=「安全なサイト」ではない。フィッシングサイトもHTTPS化できるため、URLや証明書情報の確認が引き続き重要
- 移行は「証明書取得→インストール→URL書き換え→301リダイレクト→ツール更新」の5ステップで進める
まだHTTPS化していないサイトをお持ちの方は、まずレンタルサーバーの管理画面を開いて、無料SSL証明書(Let’s Encrypt)が利用できるか確認することが最初の一歩です。
多くのレンタルサーバーでは、管理画面から数クリックでSSL証明書を発行・適用できます。難しい作業は必要ありません。本記事で紹介した移行手順を参考に、ぜひ今日からHTTPS化を進めてみてください。
HTTPS化後の効果測定や設定確認には、Googleサーチコンソールの活用が役立ちます。詳しくは以下の記事をご覧ください。


