httpとhttpsの違いとは？リダイレクトやセキュリティも解説

httpとhttpsは、どちらもWebの通信手段であることに変わりはありません。最も大きな違いは、暗号化されているかどうかです。

本記事では、httpとhttpsの違いについて詳しく解説します。また、SEOへの影響やhttpからhttpsに変換する方法、安全なWebサイトの見極め方などについても解説していきますので、ぜひ参考にしてください。

httpとは

httpとは、Hyper Text Transfer Protocolの略で、Webの通信手段のひとつです。インターネット上でWebページやデータを送受信するための基本的なプロトコルとして広く使用されています。

httpの特徴として、非常にシンプルな通信手段であることが挙げられます。Webブラウザがサーバーにリクエストを送り、サーバーから応答（レスポンス）を受け取るという単純な仕組みで動作します。

この通信方式では、ひとつのリクエストに対して、ひとつの応答しか返されません。また、前提条件が同様であれば、同じリクエストに対しては常に同じレスポンスが返されるという特性があります。

セキュリティの観点から、httpは「はがき」に例えられることがあります。はがきと同様に、httpでの通信内容は第三者に閲覧される可能性があり、また改ざんのリスクも存在します。このため、httpはセキュリティ面で弱点があるとされています。

近年のWeb環境では、よりセキュアな通信を実現するために、httpの進化版であるhttpsの使用が推奨されています。しかし、httpは依然として多くのWebサイトで使用されており、基本的なWeb通信プロトコルとしての役割を果たし続けています。

関連記事
・サーバーとは何か？サーバー構築からサーバーエラーやサーバーダウンまで徹底解説
・Web(ウェブ)とは？初心者でも分かるよう意味や仕組みを解説します

httpsとは

httpsとは、

Hypertext Transfer Protocol Secureの略称で、Webの安全な通信手段の一つです。httpが「はがき」に例えられるのに対し、httpsは「封書」に例えられます。この暗号化通信により、第三者が通信内容を容易に閲覧したり改ざんしたりすることが困難になります。

httpsは、通常のhttp通信にSSL（Secure Sockets Layer）やTLS（Transport Layer Security）などの暗号化プロトコルを追加することで実現されます。これにより、Webブラウザとサーバー間でやり取りされる情報が暗号化され、セキュリティが強化されます。

httpsを利用することで、個人情報やクレジットカード情報などの機密データをより安全に送受信することが可能になります。また、多くの現代のWebブラウザでは、httpsで保護されたWebサイトにアクセスする際、アドレスバーに鍵アイコンが表示されるため、ユーザーにとってもサイトの安全性が視覚的に確認しやすくなっています。

セキュリティ意識の高まりと共に、httpsの重要性は増しており、多くのWebサイトが従来のhttpからhttpsへの移行を進めています。特に、ユーザーの個人情報を扱うサイトや、オンラインショッピングサイトなどでは、httpsの採用が不可欠となっています。

httpとhttpsの違い

httpとhttpsは、どちらもWebの通信手段であることに変わりはありません。最も大きな違いは、暗号化されているかどうかです。

httpは、非常にシンプルな通信手段です。Webブラウザからサーバーにリクエストを送り、そこからのレスポンスを受け取るのみです。

一方、httpsの場合は、httpの通信に加えて、SSL（Secure Sockets Layer）やTLS（Transport Layer Security）などの接続が使われています。これらの接続があることで、http通信の内容が暗号化されるため、第三者がhttpの情報を見ても、中身が分からないようになっているのです。

この暗号化の仕組みにより、httpsはセキュリティ面で優れた通信手段となっています。ユーザーの個人情報やクレジットカード情報などの機密データを扱う場合、httpsを使用することで情報漏洩のリスクを大幅に低減することができます。

上記のような複雑な仕組みをすべて覚える必要はありません。httpsは暗号化された通信であるということを、まずはしっかりと覚えておきましょう。このセキュリティ面での違いが、httpとhttpsの最も重要な差異となっています。

httpはなぜ安全ではないのか

「中間者攻撃」と呼ばれるサイバー攻撃が、httpを使用したWebサイトにおいて大きな脅威となっています。この攻撃手法では、通信を行う二者の間に攻撃者が介入し、データの改ざんや盗聴を行います。攻撃者は巧妙に送受信者になりすまし、長期間にわたって情報を搾取する可能性があります。

中間者攻撃の特徴として、被害に遭っていることに気づきにくい点が挙げられます。これは攻撃が長期間かつ巧妙に行われるためです。暗号化されていないhttpは、このような中間者攻撃に対して脆弱であり、容易に攻撃を受けてしまう可能性があります。

したがって、httpを使用したWebサイトでは、ユーザーの個人情報や機密データが簡単に傍受され、悪用されるリスクが高くなります。このような理由から、httpは安全性が低いと考えられており、セキュリティ面での懸念が指摘されています。

httpsは本当に安全だと言えるのか

実はhttpsは「httpに比べれば安全性は高い」というだけで、必ずしも完全に安全とはいい切れません。確かに、前述の「中間者攻撃」に対しては有効な対策となりますが、アクセス先のWebサイトそのものがハッカーによって仕掛けられた悪意のあるサイトであった場合、httpsによる保護の意味がなくなってしまいます。

つまり、情報の送信元Webサイトや伝送経路で暗号化されていても、送信先が詐欺サイトや悪意のあるWebサイトであれば、そこで情報が復号化されてしまい、結果的に情報がそのまま送られているのと変わらない状況になるのです。このような理由から、httpsだけでは完全な安全性を保証することはできません。

したがって、ユーザーは情報送信先のWebサイトの安全性について、自身で十分に確認する必要があります。httpsは確かにセキュリティを向上させますが、それだけで安心せず、Webサイトの信頼性や運営元の評判なども併せて確認することが重要です。

セキュリティとhttpsの関係性

前述の通り、httpsはセキュリティ面からも推奨されている通信手段です。httpsは、暗号化された通信を行うことで、第三者による情報の盗聴や改ざんのリスクを大幅に低減します。この特性により、ユーザーの個人情報やクレジットカード情報などの機密データを安全に送受信することが可能となります。

httpsの重要性は、インターネットの利用が日常生活に深く浸透するにつれて、ますます高まっています。特に、オンラインショッピングやインターネットバンキングなどの金融取引を行う際には、httpsによる暗号化通信が不可欠です。

また、httpsの採用は、Webサイトの信頼性向上にも寄与します。ユーザーは、ブラウザのアドレスバーに表示される鍵アイコンを確認することで、そのサイトが安全であることを視覚的に認識できます。これにより、ユーザーは安心してサイトを利用し、必要な情報を入力することができるのです。

さらに、検索エンジンやブラウザの開発元も、httpsの採用を強く推奨しています。これは、インターネット全体のセキュリティ向上を目指す取り組みの一環であり、httpを使用したサイトよりもhttpsを使用したサイトを優先的に評価する傾向にあります。

このように、httpsとセキュリティは密接に関連しており、現代のWeb環境において、httpsの採用はもはや選択肢ではなく必須事項となっています。Webサイトの運営者は、ユーザーの安全を守り、自社サイトの信頼性を高めるために、httpsへの移行を真剣に検討する必要があるでしょう。

Googleはhttpを非推奨

Googleは、SEO対策に関わる人々向けのガイドラインを公開しており、その中でhttpの使用を非推奨としています。この理由は、httpが情報を暗号化しないため、個人情報などの重要なデータが漏洩するリスクが高いからです。

SEO対策を行う上で、Googleの方針に沿うことは非常に重要です。なぜなら、Googleは検索エンジン市場でトップシェアを誇っており、多くのウェブサイト運営者がGoogleの検索結果での順位向上を目指しているからです。

したがって、Googleが非推奨としているhttpでウェブサイトを運営することは、検索エンジンからの評価が低くなる可能性があります。これは、SEO対策の観点から見ても望ましくない状況といえるでしょう。

ウェブサイト運営者は、この点を十分に理解し、可能な限りhttpsへの移行を検討することが重要です。httpsを採用することで、ユーザーの安全性を高めるだけでなく、Googleからの評価も向上させる可能性があります。

関連記事
・E-A-Tとは？GoogleがSEO対策で評価する基準を解説！
・SEOとは？SEO対策の基礎知識と具体的な方法を詳しく解説

ユーザーの画面にも「保護されていない通信」と表示される

httpのWebサイトにユーザーがアクセスすると、ブラウザ上に「保護されていない通信」という警告が表示されます。この表示により、ユーザーは自分の通信が保護されていないことに不安を感じ、早期にそのWebサイトから離脱する可能性が高まります。

Webサイトで収益を得たい場合、まずはユーザーにしっかりとページを読んでもらうことが大切です。保護されていない通信はユーザーを早期に離脱させてしまう可能性があるので、やはりhttpsに切り替えておくことが望ましいでしょう。

また、この警告表示はユーザーの信頼を損なう可能性があります。ユーザーは自身の個人情報やプライバシーを重視する傾向にあるため、セキュリティが確保されていないと感じるWebサイトには長く滞在しようとしません。結果として、コンバージョン率の低下やブランドイメージの悪化につながる可能性があります。

したがって、Webサイト運営者は常にセキュリティに配慮し、ユーザーに安心感を与える環境を整えることが重要です。https化はその第一歩となり、ユーザーエクスペリエンスの向上にも貢献します。

ユーザー側で簡単に暗号化されているかを見極める方法

暗号化（https化）されたWebサイトの場合、ブラウザのURL部分に鍵マークが表示されます。この鍵マークは、通信が暗号化されていることを示す重要な指標です。ユーザーはこの鍵マークを確認することで、アクセスしているサイトが安全であるかどうかを簡単に判断できます。

一方、暗号化されていないWebサイトの場合、鍵マークは表示されず、代わりに「接続は安全ではありません」という警告メッセージが表示されることがあります。この警告は、ユーザーに対して注意を促す役割を果たしています。

ブラウザによっては、httpsのサイトでは URL の先頭に「https://」と表示され、httpのサイトでは「http://」と表示されることもあります。これも暗号化の有無を判断する一つの目安となります。

以上のような視覚的な手がかりを確認することで、ユーザーは簡単にWebサイトの暗号化状況を把握することができます。

httpsがデータを保護している仕組み

httpsは「SSL（Secure Sockets Layer）」と呼ばれるプロトコルを利用し、インターネット上でのデータを暗号化します。この暗号化によって、第三者が通信内容を盗み見ることができないよう、データが保護されます。httpsによる通信では、主にクライアントとサーバー間で以下のような送受信が行われます。

1. クライアントがサーバーに対してSSL通信をリクエスト
2. サーバーは公開鍵とSSL証明書をクライアントに送信
3. クライアントは受け取った情報を確認後、共通鍵を作成し、その共通鍵を受け取った公開鍵で暗号化してサーバーへ返信
4. サーバーは暗号化された共通鍵を秘密鍵で復号化

このような仕組みにより、暗号化されたデータは秘密鍵を保持していなければ復号化できないようになっています。つまり、通信経路上で第三者が情報を傍受しても、その内容を解読することは極めて困難となります。これがhttpsによるデータ保護の基本的な仕組みです。

SSLサーバー証明書とは

SSLサーバー証明書は、Webサイト運営者の実在性を証明する電子書類です。この証明書は、Webブラウザとサーバー間の通信データの暗号化も保証します。SSLサーバー証明書には「鍵」と呼ばれる仕組みがあり、これによってWebブラウザとサーバー間の通信が暗号化されます。

暗号化された通信は、鍵を所有する者のみが閲覧できるため、第三者による不正アクセスのリスクが大幅に低減されます。重要な点として、この鍵は情報の通信先でのみ解除可能です。そのため、httpsを採用した上でさらに情報セキュリティを強化したい場合、SSLサーバー証明書の取得を検討することをおすすめします。

SSLサーバー証明書を発行すると、ブラウザのアドレスバーに鍵マークが表示されます。これにより、ユーザーに対してサイトの安全性と信頼性を視覚的に示すことができます。この鍵マークは、多くのユーザーにとって安心してサイトを利用できる指標となっています。

関連記事
・SSLはどれを選べばいいの？SSLの種類と証明書について
・TLSとは！基本的な仕組みやSSLとの違いについても解説！
・SSLとは！基本的な概念を初心者にもわかるように解説！

SSLサーバー証明書の確認方法

SSLサーバー証明書の確認は、Webサイトの安全性を確認する上で重要な手順です。一般的に、SSLサーバー証明書の確認方法には複数の方法がありますが、主に「ドメイン認証」「EV認証」「企業認証」の3つが代表的です。これらの方法はいずれも比較的簡単に行うことができます。

SSLサーバー証明書を確認することで、ユーザーはそのWebサイトが信頼できるものかどうかを判断することができます。また、Webサイト運営者にとっても、自社のサイトが適切に保護されているかを確認する上で重要な作業となります。

ただし、SSLサーバー証明書の確認だけでは、Webサイトの完全な安全性を保証することはできません。SSLは主にユーザーとサーバー間の通信を暗号化するものであり、ハッキングや不正アクセスなどの他の形態のサイバー攻撃に対しては、追加の対策が必要となります。

ドメイン認証

SSLサーバー証明書の確認方法は、大きく「ドメイン認証」「EV認証」「企業認証」の3つが挙げられます。どの方法でも簡単に確認することができますが、ここではドメイン認証を例に見てみましょう。

1. ブラウザの左上にある「鍵マーク」をクリック
2. 証明書のウィンドウを選択
3. サブジェクトの下段に「CV＝」以下の文字列が表示されるので、そこにSSLサーバー証明書を取得したドメインが表示されていれば確認は完了です

この手順に従うことで、訪問しているWebサイトが適切なSSLサーバー証明書を保有しているかどうかを確認できます。ドメイン認証は最も基本的な認証方法であり、Webサイトの運営者が当該ドメインの管理権限を持っていることを証明します。

SSLだけでは保護が難しいハッキングや不正アクセス

Webサイトがハッキングや不正アクセスを受けた場合、SSLだけでは保護は期待できません。SSLは、暗号化によってユーザーとの通信を保護するものだからです。

Webサイトをサイバー攻撃の標的から守るためには、SSLの導入に加えて、適切なセキュリティ対策を講じる必要があります。例えば、最新のセキュリティパッチの適用、強力なパスワードの使用、定期的なバックアップなどが重要です。また、ファイアウォールの設置やマルウェア対策ソフトの導入も効果的な防御手段となります。

関連記事：WAF（Web Application Firewall）とは？セキュリティの仕組みや基礎を徹底解説！

常時SSL化が進む背景

常時SSL化が進む背景にはフリーWi-Fiの普及などが挙げられます。フリーWi-Fiはセキュリティが脆弱で利用者はハッカーの格好のターゲットになりがちです。そういった問題もあり、常時SSL化が進んでいきました。

● フリーWi-Fiはセキュリティが脆弱
● Cookieの情報が盗まれるとなりすましが横行する
● 一部ページのSSL化ではCookie情報を守れない
● 常時SSL化をすればCookie情報漏洩を防ぐ手段として効果的

フリーWi-Fiはセキュリティが脆弱

フリーWi-Fiは空港やショッピングモール、ファーストフード店などさまざまな場所で提供されています。フリーWi-Fiが設置されている場所では通信量を気にすることなくインターネットが利用できます。

無料でしかも手軽にインターネットが利用できますが、セキュリティが脆弱であることが多くハッカーが意図的に罠を仕掛けている場合もあります。例えば「企業が提供しているフリーWi-Fiに見せかけてなりすましのアクセスポイントを仕掛ける」などの行為が横行しています。

また不正ツールなどを使用すれば、同じWi-Fiに接続している他のユーザーのCookie情報なども簡単に盗み取ることができてしまいます。フリーWi-Fiはこういったセキュリティ面において、非常に脆弱であることが問題となっています。

Cookieの情報が盗まれるとなりすましが横行する

上述のような不正行為において、Cookie情報が盗まれると第三者が本人になりすまして各種Webサイトへログインすることができてしまいます。普段利用しているショッピングサイトやクレジットカード会社のWebサイト、各種金融機関のWebサイトなど不正ログインをされるリスクが非常に高くなります。

一度ログインされてしまうと簡単に個人情報が盗まれ、他のWebサイトへ次々ログインされてしまうなど芋づる式に被害が拡大していってしまいます。他人のCookie情報を盗み見る不正ツールはインターネット上で簡単に入手できますので、フリーWi-Fiを利用する場合はこういったリスクも念頭においておく必要があります。

一部WebページのSSL化ではCookie情報を守れない

個人情報を入力するWebページなどセキュリティが必要なWebページのみをSSL化しただけでは訪問者のCookieを守ることはできません。

SSLが設置されていないWebページに関しては無防備ですので、こういった箇所が穴となってCookie情報を盗まれてしまう可能性もあります。いずれにしても一部分だけのSSL化にはセキュリティの限界があるのです。

常時SSL化をすればCookie情報漏洩を防ぐ手段として効果的

上述のような背景から常時SSL化が進められてきました。常時SSL化を行えばWebサイト全体が保護されるためセキュリティの抜け穴がなくなります。

Webサイト全体を暗号化してしまえば、一部の情報だけを盗み見るなどの行為はできなくなり、Cookie情報漏洩の可能性が低くなります。

WebサイトをhttpsにするメリットやSEOへの効果・影響

Webサイトをhttpからhttpsにすると、多くのメリットを得られます。また、SEOにも少なからず効果や影響があります。以下では、httpsにすることのメリットやSEOへの効果・影響について解説します。

● Webサイトの信頼性が確保される
● Googleからの警告が表示されなくなる
● Chrome 68に対応している
● 検索エンジンに評価されやすくなる

Webサイトの信頼性が確保される

すでに解説した通り、httpsでは暗号化通信が行われます。例えば、クレジットカード番号などの個人情報をフォームから入力して送信した場合、httpsでは自動で暗号化されて送信されます。仮にどこかのプロセスで情報が盗み出されても、これを復号化できない第三者は内容を読み解くことができません。

一方httpでは、通信は暗号化されずそのまま送受信されます。そのためクレジットカード番号などの個人情報がどこかで盗み出された場合、情報がそのまま第三者に知られてしまうリスクがあります。このような仕組みの違いから、httpsはhttpに比べ、Webサイトの信頼性が確保しやすいと言えます。

Googleからの警告が表示されなくなる

2017年10月から、Chromeではhttpのページでフォームにテキストを入力すると、「保護されていません」と表示されるようになりました。またシークレットモードにおいては、httpのページにアクセスするだけで同様の警告メッセージが表示されます。

このような警告メッセージが出るWebサイトは、非常にユーザーの不安をあおります。ユーザーはフォームに入力することを辞めてしまうばかりか、Webサイトに来訪するのもためらうようになってしまうでしょう。ユーザーの離脱率や再訪問率、滞在時間などを下げないためにも、なるべくhttpsへ切り替えることをおすすめします。

Chrome 68に対応している

2018年7月には、それまでのChromeの新バージョンである「Chrome 68」が公開され、さらにhttpsへの対策が強化されました。これによりhttpsへの切り替えを行っていないWebサイトは、すべて「保護されていません」と表示されるようになりました。

このようにGoogleでは、ほぼ半強制的とも言える措置でhttpsへの切り替えを推奨しています。httpsにしっかり切り替えることで、Chrome 68にも対応させることができます。

検索エンジンに評価されやすくなる

Webサイトをhttpsに切り替えると、検索エンジンにも評価されやすくなります。前述の通り、httpsへの切り替えはGoogleが推奨しているため、検索エンジンの上位表示にも大きく影響します。

Googleはhttps化をランキングシグナルに加えたことを公式発表しており、httpのままのWebサイトは上位表示が難しくなることを示唆しています。

参考：ランキングシグナルとしてのHTTPS（Google検索セントラルブログ）

関連記事
・検索エンジンとは？世の中にある検索エンジン10選も紹介
・Yandex（ヤンデックス）とは！ロシアでGoogleと同じくらい人気の検索エンジンを解説！
・「とは検索」とは？検索エンジンでの検索テクニックや手法を解説します！

Webサイトをhttpsにするデメリット

Webサイトをhttpsにするデメリットとしては、以下のような点が挙げられます。

● 費用がかかる
● Webサーバー設定は自ら行う必要がある
● SNSのシェアボタンがリセットされてしまう
● 検索順位が一時的に不安定になる場合がある

費用がかかる

httpsに切り替えるSSL化の作業には、年間費用がかかります。無料のSSLもありますが、これは実在証明が行われません。企業が運営するWebサイトであれば、安全性が高く実在証明が発行される有料のSSLが好ましいと言えます。

有料SSLは認証方式により、年間数千円から数十万円と価格帯に大きな差がありますが、概ね以下のようになっています。

● ドメイン認証（認証レベル：低）＝年間数千円
● 実在証明型（認証レベル：中）＝年間数万円
● 実在証明拡張型（認証レベル：高）＝年間数十万円

企業が運営するWebサイトとして信頼性を確保したい場合は、年間数十万円の費用がかかる「実在証明拡張型（EV）」を視野に入れるべきと言えるでしょう。

Webサーバー設定は自ら行う必要がある

外注に頼らず自社内でWebサイトを構築した場合は、httpsへの切り替えも自ら行う必要があります。利用しているレンタルサーバーの設定画面で、SSLサーバー証明書を発行し設定を行います。

またSSL設定を行うと同時に、リダイレクト設定も自ら行う必要があります。SSL設定を行ったWebサイトは、Googleには新規サイトとして認識されます。そのまま何も対応しなければ、これまで積み上げてきたSEO評価がゼロになってしまいます。

そのような事態にならないためにも、しっかりとリダイレクト設定を行い、これまでのSEO評価をhttps切り替え後の新Webサイトに引き継がせる必要があります。

SNSのシェアボタンがリセットされてしまう

httpsに切り替えたあとは、SNSのシェアボタンがリセットされ、カウントがゼロに戻ってしまいます。SEOへの影響は直接的にはないかもしれませんが、SNSでのシェアを多く獲得している記事とそうでない記事とでは、コンテンツを目にしたときのユーザーの反応や行動に違いが出てくる可能性があります。

検索順位が一時的に不安定になる場合がある

httpsに切り替えたあと、それまで安定して維持されていた検索順位が一時的に不安定になる場合があります。検索順位が頻繁に入れ替わったり、下がったまま元に戻らなくなったりすることもあります。

これは、Googleがhttpsに切り替えたあとの新しいWebサイトをインデックスするまでに時間がかかることが要因とされています。通常は時間の経過とともに、徐々に元の検索順位に戻るとされていますが、それでも一時的にアクセス数や検索トラフィックが落ちる可能性があることは留意しておきましょう。

関連記事
・トラフィックとは！ マーケティング初心者でも分かるように徹底解説
・ローカル検索で上位を狙う／Googleの検索順位はどのように決まるのか？対策方法も紹介

Webサイトをhttpsにする方法

Webサイトをhttps化する方法はいくつかあり、利用しているサーバーによってもやり方は異なります。ここでは、あくまで一般的なhttps化の方法をご紹介します。手順は以下のとおりです。

● CSR（証明書署名要求）を作成する
● サーバー証明書を発行する
● 認証手続きを行う
● サーバー証明書をインストールする

なお、レンタルサーバーを利用している場合は、そのレンタルサーバー上で簡単にhttps化が可能です。エンジニアの方でなくともhttps化することはできるので、レンタルサーバーを契約していない場合は、レンタルサーバーの利用から検討してみても良いでしょう。

関連記事：レンタルサーバーとは？仕組みやレンタルサーバーを選ぶ際のポイントを徹底解説

WordPressではプラグインでも対応可能

WordPressを使用してWebサイトを運営している場合、「Really Simple SSL」というプラグインを使うことでもSSL化が可能です。

Really Simple SSLの使い方は非常にシンプルで、無料でインストールした後、有効化ボタンをクリックすればWebサイト全体が常時SSL化されます。

なお、Really Simple SSLを有効化にした後は、一度WordPressから自動的にログアウトするので、再度ログインを行いましょう。以降、Webサイトは常時https化されます。

関連記事
・WordPress(ワードプレス)とは？使ったことがない人に向けた超基本的な解説！
・WordPress(ワードプレス)とは？使ったことがない人に向けた超基本的な解説！
・【初心者におすすめ】WordPress（ワードプレス）でブログを始める方法を解説！

「.htaccess」ファイルを使ってhttpからhttpsにリダイレクトさせる方法

ここまで、一般的なhttps化の方法やWordPressのプラグインを使ったhttps化の方法をご紹介してきましたが、以下では、「.htaccess」ファイルを使ってhttpからhttpsにリダイレクトさせる方法について解説します。この方法によってリダイレクトを設定する場合は、301リダイレクトを使用することになります。

リダイレクトには、一時的な移転となる302リダイレクトも存在するため、設定後はリダイレクトチェックツールなどでしっかりと確認しましょう。簡単なリダイレクトチェックツールとしては「ohotuku.jp」がおすすめです。

.htaccessファイルを使った設定には、Webサイト全体をリダイレクトさせる方法と、Webサイト内の一部をリダイレクトさせる方法があります。

● Webサイト全体をリダイレクトさせる方法
● Webサイト内の一部をリダイレクトさせる方法

関連記事：リダイレクトとは？種類や設定方法、htaccessファイルの書き方などについて解説

Webサイト全体をリダイレクトさせる方法

httpからhttpsへWebサイト全体をリダイレクトさせるには、「.htaccess」ファイルに以下のように記述します。

サイト全体でリダイレクトする場合

RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

上記の記述によって、Webサイトの全ページがhttpからhttpsへリダイレクトされます。

Webサイト内の一部をリダイレクトさせる方法

httpからhttpsへWebサイトの一部をリダイレクトさせるには、「.htaccess」ファイルに以下のように記述します。

サイトの一部をリダイレクトする場合

RewriteEngine on RewriteCond %{REQUEST_URI} .*/●●●.html$ [OR] RewriteCond %{REQUEST_URI} .*/■■■.html$ RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteCond %{REQUEST_URI} !(.*/ ●●●.html$) RewriteCond %{REQUEST_URI} !(.*/ ■■■.html$) RewriteCond %{HTTPS} on RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

上記の記述によって、ディレクトリ単位、ページ単位でhttpからhttpsへリダイレクトされます。上記の例では、「●●●」と「■■■」のページがhttpsへリダイレクトされます。

安全なWebサイトの見極め方

本記事の前半では、Webサイトが暗号化されているかどうかを見極める簡単な方法をご紹介しましたが、ここでは、さらに安全なWebサイトの見極め方について解説します。

● メールアドレスがフリーメールアドレスでないか
● 振込先の名義を確認する
● 口コミを確認する
● 電話番号が個人番号でないか

それぞれ順番に見ていきましょう。

メールアドレスがフリーメールアドレスでないか

運営元がはっきりしているWebサイトでは、たいてい独自ドメインを利用したメールアドレスが使われています。そのため、断言することはできませんが、@gmailや@yahoo.co.jpなどのフリーメールアドレスを使っているWebサイトは、安全性が低い可能性があることを理解しておきましょう。

関連記事：ドメインとは？ビジネスにおける独自ドメインの重要性を徹底解説

振込先の名義を確認する

振込先の名義が企業名でない場合も注意が必要です。詐欺サイトでは、個人名義の振込先を指定しているケースが多いためです。また、見慣れない銀行口座を指定している場合は、まずWeb上でその銀行名で検索をかけ、必ず事前に実態を確認しましょう。

口コミを確認する

Webサイト名や運営者名の口コミを確認することも大切です。仮に、悪い口コミのほうが多い場合は、その商品やWebサイトの質が低い可能性があります。また、詐欺被害に遭ったなどの書き込みが見つかるケースもあるので、予めしっかりと確認しましょう。

電話番号が個人番号でないか

運営元が適切な企業の場合、電話番号は必ず企業が使用しているものが記載されています。しかし、個人番号が掲載されている場合は、その番号をWeb上で検索をかけるなどして、信頼できる運営元であるかどうかを確認するようにしましょう。

ページに接続できない場合のhttpステータスコード

ページに接続できない場合のhttpステータスコードは主に以下のものになります。

● 400 Bad Request
● 401 Unauthorized
● 403 Forbidden
● 404 Not Found
● 500 Internal Server Error
● 503 Service Unavailable

400 Bad Request

「400 Bad Request」はURLのスペルミスや不正な構文、キャッシュの破損などの際に返されるHTTPステータスコードです。主にクライアント側のリクエストに問題がある場合に表示されます。これを対策するには、正しいURLを再度リクエストする、ブラウザのキャッシュやCookieを削除する、DNSキャッシュをクリアする、などの方法があります。

401 Unauthorized

401 UnauthorizedはWebサイトへのログイン認証失敗もしくはアクセス権限がない場合などに返されるHTTPステータスコードです。またアクセストークンが無効である場合も同様のエラーが返されます。

主にクライアント側のリクエストに問題がある場合に表示されます。これを対策するには、正しいログイン情報を入力する、数時間後に再度アクセスを試みる、などの方法があります。

403 Forbidden

403 Forbiddenはリクエスト先のアクセス権が無い場合など、いわゆるリンク切れやアクセスした先のWebサイトが何らかの原因でアクセスできない状態になっている場合に返されるHTTPステータスコードです。

またアクセス権が設定されているページにアクセスした場合に表示されることもあります。こういった場合は管理者にアクセス権を付与してもらうことで解決できる場合もあります。

404 Not Found

404 Not Foundはリクエスト先のページが存在しない場合に返されるHTTPステータスコードです。原因の多くはURLのスペルミスで発生する他、削除されたページにアクセスした場合や単純なリンク切れなどでも返されるエラーです。

このエラーはSEOやユーザビリティ的にもあまり好ましくないため、サイト管理者はリダイレクトを行っておくことで施策ができます。

500 Internal Server Error

500 Internal Server Errorはサーバーに何らかの問題が発生した場合に返されるHTTPステータスコードです。サーバー内でのエラーのため、クライアント側では対処できない場合があります。

しかしながらこのエラーは一時的な問題が原因で発生することもあり、そういった場合はクライアント側がブラウザキャッシュのクリア行うなどすることで解決できる場合もあります。

ブラウザキャッシュのクリアなどで解決できない場合は、管理者側の問題が濃厚となりますので時間を置いてから再びアクセスを試みてみます。

503 Service Unavailable

503 Service Unavailableはアクセスが集中して、リクエストが処理しきれなかった場合に返されるHTTPステータスコードです。404 Not Foundと同じく、よく目にするエラーとなります。

クライアント側でデータ転送量の低いプランなどを利用していると503 Service Unavailableエラーが頻繁に発生します。こういった場合は、データ転送量の高い上位プランを選択することで解消される場合があります。

まとめ

本記事では、httpとhttpsの違いなどについて解説してきました。httpとhttpsは、どちらもWebの通信手段ではあるものの、セキュリティ面の安全性に大きな違いがあります。httpsは通信が暗号化されているため、第三者に情報が漏洩してしまうリスクや、改ざんされてしまう危険性が少ないことが特徴です。

検索エンジン大手のGoogleもhttpsを推奨しています。まずは、自社のWebサイトがhttpsによる通信であるかを確認するとともに、そうでない場合は迅速にhttps化を進めていきましょう。