ホームページのSSL化は、URLをhttpからhttpsへ変えるだけの作業ではありません。SSL証明書を入れ、ページ全体をHTTPSで配信するだけでなく、内部リンクや画像、リダイレクト、検索エンジン向けの設定までそろえて初めて、運用上の不安が減ります。
Chromeで「保護されていない通信」と表示されると、サイトが壊れたように見えて焦るかもしれません。
ただし、原因は一つではありません。証明書の未設定、期限切れ、混在コンテンツ、HTTPからHTTPSへの転送漏れを順に見れば、直すべき場所はかなり絞れます。
要点SSL化は証明書、サイト設定、URL整理のセットで考える
SSL証明書を入れるだけで終わらせると、一部ページだけ警告が残ることがあります。安全に進めるなら、HTTPS表示、内部URL、301リダイレクト、Search Console確認までを一つの作業として見てください。
ホームページのSSL化とは
ホームページのSSL化とは、現在の実務ではSSL/TLS証明書を使って、サイトをHTTPSで安全に配信することを指します。厳密には古いSSLではなくTLSが使われる場面が多いのですが、検索語としては今も「SSL化」と呼ばれます。
HTTPSになると、閲覧者のブラウザとサーバーの間の通信が暗号化されます。問い合わせフォーム、ログイン画面、資料請求ページのように情報を送る場所ではもちろん、企業サイト全体の信頼にも関係します。
SSL化は、証明書を入れる作業だけではありません。
HTTPのまま残っている画像、古い内部リンク、canonical、サイトマップ、転送設定まで見ないと、見た目はHTTPSでも運用上の穴が残ります。
| 項目 | HTTP | HTTPS |
|---|---|---|
| URL | http:// | https:// |
| 通信 | 暗号化なし | 暗号化あり |
| ブラウザ表示 | 警告が出ることがある | 安全な接続として扱われる |
| 実務上の扱い | 早めに改善したい状態 | 企業サイトの基本整備 |
出典: web.dev「Why HTTPS matters」(英語)
「保護されていない通信」と表示される主な原因
Google Chromeヘルプでは、アドレスバー横の表示でサイト接続の安全性を確認できると説明されています。
「保護されていない通信」は、そのページがプライベートな接続で保護されていない可能性を示すサインです。
ただし、表示された瞬間に「ウイルス感染した」「サイト全体が乗っ取られた」と決めつける必要はありません。多くの場合は、SSL証明書やURL設定の不備を順に確認していく問題です。
出典: Google Chromeヘルプ「ウェブサイトへの接続が安全かどうかを確認する」
- SSL証明書が未設定
サーバー側で証明書が有効になっていない状態です。 - 証明書の期限切れ
無料SSLでも有料SSLでも、更新に失敗すると警告につながります。 - 対象ドメインの不一致
wwwあり、wwwなし、サブドメインなど、証明書の対象とアクセスURLがずれている状態です。 - 混在コンテンツ
HTTPSページの中に、HTTPの画像、CSS、JavaScriptが残っている状態です。 - HTTPからHTTPSへの転送漏れ
古いURLへアクセスした読者がHTTPS版へ移動できない状態です。
注意トップページだけHTTPSでも安心とは限らない
会社概要、問い合わせ、採用、ブログ、LPなど、読者が見るページは複数あります。トップページだけでなく、主要な下層ページもHTTPSで表示されるかを確認してください。
ホームページをSSL化する基本手順
ホームページのSSL化のやり方は、サーバー会社やCMSごとに画面が違うものと考えてください。
一方で、実務の順番はほぼ共通です。先に権限と契約を確認し、その後に証明書、URL、転送、検索設定を見ると、手戻りを減らせます。
WordPress公式ドキュメントでも、WebサーバーにTLS/SSL証明書がインストールされていればWordPressはHTTPSに対応すると説明されています。
つまり、WordPress側だけで完結する話ではなく、サーバーとサイト設定の両方を見る必要があります。
出典: WordPress Developer Resources「HTTPS for WordPress」(英語)
- 現状を確認する
URL、ドメイン、サーバー、CMS、管理者権限、バックアップの有無を見ます。 - サーバー側でSSL証明書を有効化する
無料SSLまたは有料SSLを、対象ドメインに対して設定します。 - HTTPSで主要ページを表示確認する
トップページ、下層ページ、管理画面、問い合わせフォームを開きます。 - 内部リンクと素材URLをHTTPSへそろえる
画像、CSS、JavaScript、リンク、フォーム送信先を確認します。 - HTTPからHTTPSへ301リダイレクトする
古いURLで来た読者と検索エンジンをHTTPS版へ案内します。 - canonical、サイトマップ、Search Consoleを確認する
検索エンジンにHTTPS版を正規URLとして伝えます。 - 証明書の自動更新と担当者を記録する
期限切れで警告が再発しないよう、管理台帳に残します。
SSL化の前にドメインやサーバーの契約者が分からない場合は、作業を急ぐより先に管理情報を整理してください。
会社のドメイン管理で確認すべき項目を押さえると、SSL化だけでなくメールやサーバー移管のトラブルも防ぎやすくなります。
メモ管理会社を変える予定があるなら、SSL化だけを単独で進めるより、ドメイン、サーバー、CMS権限、バックアップの引き継ぎと一緒に確認したほうが安全です。
無料SSLと有料SSLはどう選ぶか
無料SSLか有料SSLかで迷う前に、まず証明書の種類と管理体制を分けて考えてください。
多くの企業サイトでは、サーバー会社が用意する無料SSLでHTTPS化できるケースがあります。代表例のLet’s Encryptは、無料のドメイン認証(DV)証明書を提供しています。
Let’s EncryptのFAQでは、標準の証明書有効期間は90日で、60日ごとの更新を推奨すると説明されています。
ここで大事なのは無料か有料かではなく、自動更新が動き、期限切れを検知でき、誰が管理するか決まっていることです。
出典: Let’s Encrypt FAQ(英語)
| 種類 | 向いている場面 | 確認すること |
|---|---|---|
| 無料SSL | 一般的な企業サイト ブログ 資料請求サイト | 自動更新 対象ドメイン 期限通知 |
| 有料SSL | 組織認証が必要 社内規程がある 証明書管理を厳格にしたい | 認証種別 管理窓口 更新手順 |
| 検討不要な判断 | 価格だけで選ぶ 検索順位だけを目的にする | SSL化の目的 運用責任 復旧体制 |
有料SSLを選ぶべきか迷ったら、証明書の価格ではなく、社内規程、取引先の要件、組織認証の必要性、更新管理の体制から判断しましょう。
「無料だから危険」「有料だからSEOに強い」といった単純な話ではありません。
SSL化しても警告が消えないときの直し方
SSL証明書を有効化したあとも、「保護されていない通信」が残ることがあります。
その場合は、HTTPSページの中にHTTPの画像やスクリプトが混ざっていないかを確認してください。この状態を混在コンテンツと呼びます。
web.devは、HTTPSページ内のHTTPリソースがHTTPSの保護を損なう可能性があり、ブラウザが警告またはブロックすることがあると説明しています。
ソースや管理画面、CSS、JavaScript、画像URLにhttp://が残っていないかを見てください。
出典: web.dev「Fixing mixed content」(英語)
- 画像URL
本文やウィジェットに古いhttp画像が残っていないか確認する。 - CSSとJavaScript
テーマやプラグインがHTTPでファイルを読み込んでいないか見る。 - canonical
正規URLがHTTP版を指していないか確認する。 - サイトマップ
送信しているURLがHTTPS版になっているか見る。 - 301リダイレクト
HTTPでアクセスしたとき、HTTPSへ自然に移動するか確認する。
HTTPからHTTPSへの転送は、検索結果に残った古いURLや外部サイトからのリンクを受け止めるためにも重要です。転送の考え方は、301リダイレクトと302リダイレクトの違いを先に確認しておくと理解しやすくなります。
回避HSTSは最初に入れない
HSTSはHTTPS接続を強制する強力な仕組みです。ただし、証明書やHTTPS配信が安定する前に入れると復旧が難しくなることがあります。初回のSSL化では必須手順にせず、運用が安定してから検討してください。
SSL化後に見るチェックリスト
SSL化後は、ブラウザ表示だけで判断しないほうが安全です。
読者に見える表示、フォーム送信、検索エンジン向けのURL、運用管理まで、最低限の確認を一度で済ませましょう。
| 確認箇所 | 見る内容 | 問題があるとき |
|---|---|---|
| ブラウザ | 警告表示 鍵アイコン | 証明書と混在コンテンツを確認 |
| フォーム | 送信 通知 自動返信 | 送信先URLとメール設定を確認 |
| 下層ページ | 会社概要 採用 ブログ | HTTP素材や内部リンクを確認 |
| 検索設定 | canonical サイトマップ | HTTPS版へ更新 |
| 運用管理 | 期限 担当者 更新通知 | 管理台帳へ記録 |
Google Search Consoleヘルプでは、HTTPSレポートでHTTPとHTTPSのインデックス状況を確認できると説明されています。
問題例には、HTTP canonical、無効な証明書、HTTPのサイトマップ、HTTPSからHTTPへのリダイレクトなどが含まれます。
出典: Google Search Consoleヘルプ「HTTPSレポート」
SSL化後に画像やCSSの読み込みが重く感じる場合は、HTTPSそのものより、画像サイズやキャッシュ、外部スクリプトが原因のこともあります。ページ表示速度の改善方法もあわせて確認すると、表示チェックの優先順位を決めやすくなります。
PCとスマホで表示が違う、問い合わせフォームだけ崩れる、古いブラウザで警告が出るといった場合は、目視だけでは見落としやすくなります。更新後の確認方法として、AIブラウザ検証で表示崩れを自動チェックする考え方も役立ちます。
自分でやるか制作会社に依頼するか
自社で対応できるかどうかは、作業の難易度よりも権限と復旧手順で判断します。
サーバー管理画面に入れて、バックアップがあり、失敗時に戻せるなら、自社で進められる範囲もあります。
一方で、管理会社の権限が外部だけにある、前任者のメールアドレスに紐づいている、WordPressのURL変更でログイン不能になりそうな場合は、無理に触らないほうが安全です。先に権限、バックアップ、復旧窓口を確認してください。
| 状況 | 自社対応 | 依頼推奨 |
|---|---|---|
| サーバー権限あり | 証明書の有効化確認 | 不安なら作業代行 |
| バックアップあり | URL修正の準備 | 復旧手順の確認 |
| 混在コンテンツ多数 | 一部確認 | 一括修正と検証 |
| 管理会社変更予定 | 契約確認 | 引き継ぎ設計 |
| フォームや決済あり | 送信テスト | 本番影響の確認 |
今の管理会社からの乗り換えも同時に考えているなら、SSL化だけを切り出さず、ホームページ管理会社を変更するときの引き継ぎ手順と合わせて整理してください。
ドメイン、サーバー、CMS、フォーム、Search Consoleを一緒に見たほうが、後で詰まりにくくなります。
相談の前に依頼先へ渡す情報をそろえる
制作会社や保守会社に相談するときは、現在のURL、サーバー会社、ドメイン管理会社、WordPress管理者権限、バックアップの有無をまとめておくと話が早くなります。何が分からないかを整理するだけでも、見積もりの精度は上がります。
ノーサイドでは、ホームページ制作、WordPress保守、管理会社変更、広告やSEOの運用まで含めて、サイトの状態を見ながら整理できます。SSL化だけでなく、ホームページの保守・改善全体を見直したい場合は、現在の権限や契約状況から一緒に確認します。
ホームページのSSL化でよくある質問
QSSL化しないとどうなりますか?
Aブラウザで警告が出たり、問い合わせフォームやログイン情報の通信に不安が残ったりします。企業サイトでは、早めにHTTPS化しておくほうが安全です。
Q無料SSLでも問題ありませんか?
A一般的な企業サイトでは、無料のドメイン認証(DV)証明書でHTTPS化できるケースがあります。重要なのは、証明書の種類だけでなく、自動更新と期限切れの管理です。
QSSL化にはどれくらい時間がかかりますか?
A証明書の有効化だけなら短時間で終わることもあります。ただし、古いHTTPリンクや混在コンテンツが多いサイトでは、修正と確認に時間がかかります。
QWordPressならプラグインだけでSSL化できますか?
Aプラグインが補助になることはありますが、サーバー側のSSL証明書、サイトURL、内部リンク、リダイレクト、バックアップの確認は別に必要です。
QSSL化するとSEOに効果はありますか?
AGoogleはHTTPSを強く推奨しており、検索向けの基本整備として重要です。ただし、SSL化だけで順位が大きく上がると考えるのは避け、コンテンツや表示速度も合わせて見てください。
Q「保護されていない通信」が消えない原因は何ですか?
A証明書の未設定や期限切れだけでなく、HTTPSページ内にHTTP画像やJavaScriptが残る混在コンテンツ、canonicalやリダイレクトの不備が原因になることがあります。
QSSL化は自分でできますか?
Aサーバー権限、バックアップ、復旧手順がそろっていれば自社で進められる場合があります。権限が不明、フォームや決済がある、管理会社変更も絡む場合は専門家へ依頼したほうが安全です。