Defaults.Exposed › 修正 › HTTPS と 強制セキュアリダイレクト

HTTPS と 強制セキュアリダイレクト の直し方

HTTPSはブラウザのアドレスバーに出る鍵マークで、ウェブサイトと顧客の間を行き来するすべてを暗号化し、途中で読まれたり改ざんされたりしないようにします。強制セキュアリダイレクトは、訪問者が『https://』を付けずにアドレスを入力しても、自動的にその暗号化版に着地させます。この2つがそろって初めて、ウェブサイトは安全と見なされる最低条件を満たします。

あなたのビジネスにとっての結論： HTTPSがないと、顧客が送るすべてのパスワード・カード番号・メッセージが読める平文のままインターネットを横切り、Chrome・Edge・Safari・Firefoxはどの訪問者にも一言読まれる前から『保護されていません』とサイトに刻印します。リダイレクトがないと、証明書があるサイトでさえ最初の訪問が無防備になります。どちらも信頼・売上・検索順位を奪い、しかもどちらも数分で無料で直せます。

これで失いかねないもの

• 初めての訪問者が、ページが読み込まれた瞬間に大きな『保護されていません』の警告を見ます。多くはサイトが偽物・壊れている・安全でないと思い込んで競合へ去り、あなたは売上を失ったことすら知りません。
• 顧客がカフェ・ホテル・空港から暗号化されていない接続でカード情報を入力したりログインしたりします。同じWi-Fiにいる誰かがそれを平文で読み、続く不正請求の責任があなたに負わされます。
• 大口顧客の調達・セキュリティチームが契約前に手早くスキャンし、HTTPSがない、または強制セキュアリダイレクトが欠けているのを見て、修正を証明できるまで契約を保留します。
• GoogleがHTTPSを提供する競合より下にあなたを順位付けし、このギャップと結びつけることもないまま、何年も静かに検索流入を失います。
• 規制当局や決済事業者が、個人情報やカード情報を暗号化せず送ることを報告対象の不備とみなし、5分の無料修正をコンプライアンスの問題に変えます。

なぜ重要か。 HTTPSはウェブセキュリティの天井ではなく床です。鍵マークを出させ、顧客が送るすべてが途中で読まれたり変えられたりするのを止めるものです。強制セキュアリダイレクトは、証明書だけでは開いたままになるギャップを埋めます。人はほとんど『https://』を入力しないので、リダイレクトがなければ最初のリクエストは安全版が読み込まれる前に無防備で送られます。このどちらかを欠くサイトは訪問者に安全でなく見え、検索順位が下がり、実際の顧客データをさらします。だからこそこれは当社が採点する中で最も比重の大きい単一の不備です。

これは何か、平易に言うと

HTTPSは、あなたのウェブサイトの安全な暗号化版です—アドレスバーに鍵マークが出るほうです。訪問者がHTTPS上にいるとき、ブラウザとサイトの間を行き来するすべて（見ているページ、記入するフォーム、パスワード、カード情報）が暗号化され、間にいる誰も読んだり変えたりできません。平文版のHTTPは、それらすべてを、同じネットワーク上の誰でも傍受できる読める文字として送ります。

これを正しくするには2つの部分があり、両方を検査します：

• そもそもHTTPSが使えるか？ 安全な鍵付きの版が存在するよう、サイトに機能する証明書があるか。こちらが2つのうちより重大です—これがなければ暗号化がまったくありません。
• 訪問者をそこへ強制するか？ ほとんど誰も手で『https://』を入力しません。ドメイン名だけ入力すると、ブラウザはまず平文のHTTP版を試します。強制セキュアリダイレクトはそのリクエストを自動で暗号化版へ跳ね返します。これがないと、証明書を持っていても、すべての訪問の最初の瞬間が無防備です。

両方が必要です。リダイレクトのない証明書は、訪問者が単に回り込める鍵のかかった玄関ドアです。

ビジネス上の利害

これはウェブサイトが安全かどうかの最も基本的なシグナルで、しかも顧客が自分で見られるものです。最新のすべてのブラウザ（Chrome、Edge、Safari、Firefox）はHTTPSのないサイトをアドレスバーに**『保護されていません』**と表示し、誰かがフォームに入力しようとすると警告を出します。訪問者は証明書が何かを知らなくても、その言葉に反応します。

目に見える警告の先で、これはオーナーが直接気にする3つに影響します。信頼（人は安全でなく見えるサイトを離れる）、検索順位（Googleは何年もHTTPSをランキングシグナルにし、安全なサイトを優遇する）、そして実際の露出（平文HTTPで送られたデータは本当に同じネットワーク上の他人に読まれうる）です。デューデリジェンスの際に大口顧客のセキュリティチームが数秒でチェックする類のものでもあり、欠けていると商談が止まりかねません。

これが招きうる損失

• 静かな離脱。 見込み客が検索結果や広告からクリックして入り、ページがグレーの『保護されていません』バッジ—あるいはもっと悪く全画面の警告—とともに読み込まれます。理由を尋ねるメールは来ず、タブを閉じて次の結果をクリックします。その訪問に対価を払ったのに、一言読まれる前に失い、分析を見ても理由はわかりません。
• 傍受されたログインや決済。 顧客がホテルやカフェの共有Wi-Fiでサインインしたり決済したりします。接続が暗号化されていないため、近くの誰かがパスワードやカード番号を平文で捕らえます。続く不正はあなたの情報漏えいとして報告され、怒りの電話とチャージバックに対応するのはあなたです。
• 止まる商談。 大口の見込み客が契約寸前ですが、その調達プロセスにはウェブサイトの手早いセキュリティチェックが含まれます。HTTPSがない、または強制セキュアリダイレクトが欠けていると返ってきます。突然、契約を決める代わりに基本的なセキュリティのギャップを説明することになり、契約は待たされるか、チェックを通った競合へ静かに移ります。
• じわじわした順位流出。 同じものを提供する2社、片方は安全なHTTPSを、片方は提供しない。検索エンジンは安全なほうを少し上に押します。数か月かけて無料の流入を着実に失い、このひとつの設定と結びつけることはありません。
• 書いてもいない注入コンテンツ。 暗号化されていない接続では、間にいる誰か—怪しい公衆ネットワーク、侵害されたルーター—が、訪問者の読み込み中に偽ポップアップ・詐欺オファー・マルウェアをページに挿入できます。その訪問者にはあなたのサイトがやったように見えます。

これの実体

ブラウザがHTTPSでウェブサイトに接続するとき、2つのことが起きます。第一に、サイトが証明書—サイトが名乗るとおりの相手であることを証明する、信頼された機関発行の資格情報—を提示します。第二に、ブラウザとサーバーが暗号鍵に合意し、それで交換するすべてを暗号化します。最初の検査HTTPS利用可能は単純にこう問います。標準の安全なポート（443）でサイトに安全なTLS接続を確立し、有効な証明書を返してもらえるか？ はいなら鍵マークが出て暗号化がオンです。いいえなら、安全な版がまったくなく、それが当社が採点する中で最も重い不備です。

第二の検査強制セキュアリダイレクトは、証明書だけでは開いたままのギャップを埋めます。人は『yourbusiness.com』と入力し、『https://yourbusiness.com』とは入力しません。その素のリクエストはまず平文のHTTP版へ行きます。リダイレクトは『安全でない版に着いた者を、まっすぐ安全な版へ送れ』という1行の指示です。検査はこう問います。あなたの平文HTTPアドレスをリクエストすると、サイトはHTTPSへ跳ね返すか？ そうなら、どう入力しようとすべての訪問者が守られます。そうでなければ、その最初の無防備な一歩は、ブラウザが送るもの—Cookie、フォームデータ—を平文のまま運びます。

『良い』状態とは： 鍵マークが全ページに出るよう有効で信頼された証明書があり、かつすべての平文HTTPリクエストが自動でHTTPS版へリダイレクトされること（理想的には恒久『301』リダイレクトで、検索順位もきれいに安全なアドレスへ引き継がれます）。

修正方法（無料・約15分）

IT担当やホスティングプロバイダーのサポートにこの項を渡してください。修正は無料です。 この両方とも費用はかかりません。信頼された証明書は無料で自動更新し、リダイレクトをオンにするのはほとんどのプラットフォームでひとつの設定です。これに合格するために有料製品は必要ありません。

オンにするものは2つです。ほとんどの最新ホスティングでは、最初をやると2番目はワンクリックの切り替えになることが多いです。

1. HTTPSが機能するよう証明書を取得する（鍵マーク）。

• Cloudflare： サイトがCloudflareの背後にあるなら、SSLは任せられます。SSL/TLSモードを『Full』（オリジンサーバーにも証明書があれば『Full (strict)』）に設定します。
• サイトビルダーとマネージドホスティング（Squarespace、Wix、Shopify、Webflow、GoDaddy Website Builder、ほとんどのMicrosoft 365 / Google Workspaceのウェブホスティング）：HTTPSは自動で提供されます。サイト／ドメイン設定で有効になっているか確認するだけ—たいていインストールするものはありません。
• cPanelホスティング： SSL/TLS Statusを開きAutoSSLを実行すると、無料のLet’s Encrypt証明書が発行されます。
• 自前のサーバー（VPS）： CertbotでLet’s Encryptをインストール—sudo certbot --nginx -d yourdomain.com（または--apache）。無料証明書を取得・インストールし、自動更新も設定します。
• その他： ホスティングプロバイダーのサポートに連絡し『自分のドメインに無料SSL証明書を有効にしてほしい』と頼みます。ほぼすべてが無料で提供します。

2. すべての訪問者をHTTPSへ強制する（リダイレクト）。

• Cloudflare： SSL/TLS → Edge Certificates → **『Always Use HTTPS』**をオン。これで仕事は終わりです。
• サイトビルダー（Squarespace、Wixなど）： サイト設定で『Force HTTPS』や『Secure (HTTPS)』の切り替えを探してオンにします。
• Nginx： ポート80に恒久リダイレクトを返すserverブロックを追加—return 301 https://$host$request_uri;。
• Apache（.htaccess）： 書き換えを有効にし、非HTTPSのリクエストをリダイレクト—RewriteEngine On、RewriteCond %{HTTPS} off、RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]。
• IIS（Windowsホスティング）： URL Rewriteモジュールをインストールし『HTTP to HTTPS』リダイレクトルールを追加します。

両方をオンにしたらテストします。アドレスの前に平文のhttp://を付けて入力し、ブラウザが自動で鍵付きのhttps://版へ飛ぶこと、主要なページに鍵マークが出ることを確認します。

よくある間違い

• 証明書を入れたがリダイレクトがない。 最もよくあるギャップです。自分のサイトを訪れると鍵マークが見える（ブラウザがHTTPSを覚えているため）ので完了と思い込みますが、素のドメインを入力する新規訪問者は依然としてまずHTTPに着地します。必ず平文のhttp://版を明示的にテストしてください。
• 混在コンテンツ。 ページはHTTPSで読み込まれるのに、古いhttp://アドレスから画像・スクリプト・フォントを引き込んでいる。ブラウザはそれをブロックするか、鍵マークを警告に格下げします。それらの参照をhttps://（または相対リンク）に更新します。ほとんどのプラットフォームに、それらを見つける『混在コンテンツ』『安全でないコンテンツ』レポートがあります。
• 恒久（301）ではなく一時（302）リダイレクト。 302は訪問者には効きますが、検索エンジンには移動が一時的だと伝わるため、順位の価値が安全なアドレスへきれいに移りません。恒久301を使いましょう。
• 素のドメインだけリダイレクトし『www』をしない（または逆）。 yourdomain.comとwww.yourdomain.comの両方がHTTPSに着地するようにします。さもないと片方の経路が依然として露出します。
• 証明書を期限切れにする。 失効した証明書は訪問者を止める全画面のブラウザエラーを出します。無料のLet’s Encrypt証明書は自動更新します。手動で買ったなら、期限のかなり前にカレンダーのリマインダーを設定しましょう。

FAQ

上の質問を参照してください—技術に詳しくない『自分でできるか』、鍵マークを持つこととリダイレクトを強制することの違い、証明書のコストと更新、案内サイトに必要かどうか、HSTSとの関係をカバーしています。

よくある質問