WebサイトのHTTPS移行における3つの最も重要なステップ

公開: 2017-04-12

過去5年間にウェブサイトの作業を行ったことがあれば、HTTPSについて聞いたことがあることはほぼ間違いありません。 HTTPSは、新しい有望なインターネットプロトコルであり、すべてのユーザーにとってWebをより安全にします。また、2016年にHTTPSサイトの数が2倍になったため、これは最も急速に成長しているインターネットトレンドの1つです。

私たちはいくつかのクライアントと協力してサイトにHTTPSを実装し、その過程で、HTTPS移行によって発生する可能性のある問題の多くを解決することを学びました。シームレスなHTTPS移行のガイドは以下のとおりですが、最初に概要を説明します。

HTTPSとは何ですか？

HTTPSに慣れていない人のために、プロセスの基本的な概要を示します。Webをナビゲートするとき、コンテンツは「ハイパーテキスト転送プロトコル」を介して通信されます。これは、URL（ http://www.example.com ）の先頭に表示される「HTTP」プレフィックスであり、サーバーとクライアントがインターネットコンテンツを通信して表示できるようにするものです。

HTTPSは、HTTPプロトコルのより安全なバージョンです。サーバー/クライアント通信にSSLセキュリティ証明書を追加します。これにより、サーバーとユーザーのコンピューター間を移動するときに、悪意のある潜入者がパスワードやクレジットカード情報などの機密情報を盗むことがなくなります。最も重要なことは、サイトが安全で安全であることをユーザーに明確に示す指標を追加することです。

HTTPSセキュアサイト

原則として、HTTPSへの移行は、SSL証明書をWebサイトに追加するのと同じくらい簡単です。実際には、それは退屈で疲れるプロセスになる可能性があります。ワシントンポスト紙は、 2015年の10か月間の移行について説明し、遭遇したさまざまな問題と障害のそれぞれについて説明しました。

SSL証明書をサイトに追加するには、最初に証明書を取得してからサイト全体に適用し、それを維持して、将来的に有効期限が切れたり失効したりしないようにする必要があります。大規模なサイト、特にeコマースプラットフォームやログインポータルを備えたサイトの場合、これは非常に骨の折れるプロセスになる可能性があります。さらに、 3か月以上にわたるMozの11％のオーガニックドロップのように、一時的から永続的なトラフィックとキーワードランキングの低下のリスクがあります。

HTTPSの移行により、キーワードのランキングが下がる可能性があります

HTTPSを気にするのはなぜですか？

Googleは、2014年の早い時期から、そして正当な理由で、 WebサイトがHTTPSを採用することを最も強く支持してきました。より安全なWebを使用すると、大多数のインターネットユーザーの日常生活が非常に簡単になります。誰かがあなたのクレジットカード情報を盗むことができると知っていたら、あなたの何人がアマゾンで買い物をするのをためらうでしょうか？誰かがあなたが送信しているものを覗き見できることを知っていたら、あなたの何人が電子メールを使用しますか？今日の時代ではWebセキュリティは非常に重要ですが、実装が容易になると誤解しないでください。

インターネットユーザーにとっては幸いですが（おそらくウェブマスターやSEOにとっては残念なことですが）、HTTPSはここにとどまります。 GoogleのJohnMuellerは、これはウェブマスターが行う必要のある動きであると主張しています。

@rchtjnええと、ウェブサイトをオフにするとお金も節約できます。
—ジョン☆.o（≧▽≦）o。☆（@JohnMu）2015年12月18日

最近、GoogleのウェブマスタートレンドアナリストであるGary Ilyesは、この移行を促進するために、Googleが301リダイレクトのPageRankを測定する方法に大きな変更を加えたことを発表しました。

30倍のリダイレクトでPageRankが失われることはもうありません。

— GaryIllyesᕕ（ᐛ）ᕗ（@ methode）2016年7月26日

リダイレクトがPageRankの100％を通過できるようにすることで、以前のように80〜90％ではなく、Googleは、HTTPSを採用するように、より多くのサイトにインセンティブを与えることを望んでいます。
最後に、 Googleは、2017年1月の時点で、HTTPSを使用していないクレジットカード情報またはパスワードを収集するサイトは、GoogleChromeで「安全ではない」とマークされることを発表しました。

パスワードおよびクレジットカードページのHTTPS

複数のクライアントと協力してHTTPSを実装した後、HTTPS移行の3つの主要なステップに関係するもののリストをまとめました。

移行前
移行
移行後

事前移行

バックアップ、バックアップ、バックアップ。これを十分に繰り返すことはできません。 HTTPS移行を開始する前に、サイトをバックアップしてください。

HTTPSの移行中に問題が発生する可能性があるものは何千もあります。これには、問題が発生する可能性すら考えられなかったものも含まれます。メディアライブラリのバックアップをダウンロードします。 CSSファイルとJSファイルのバックアップを保存します。サイト全体の構成をバックアップする場合、SSLを有効にした後で問題が発生した場合は、SSL証明書を簡単に無効にできます。

繰り返しになりますが、100万年後には予期しないことがどれだけうまくいかない可能性があるかを繰り返すことはできません。サイトをバックアップします。

移行

聖杯、実際の移行そのもの。これは、すべての痛みと苦しみの準備が報われる場所です。

ウェブマスターにとって幸いなことに、従来のSSL実装よりもHTTPSに移行する簡単な方法がいくつかあります。 ClouldFlareとレッツ・暗号化は、私たちは、私は非常にHTTPS移行のためにお勧めという小規模なサイトで使用してきた2つのサービスです。
**注：Cloudflareには最近、重大なセキュリティの脆弱性が公開されているため、すぐにCloudflareSSLを採用する場合は注意が必要です。ただし、問題が完全に解決されると、これは再び実行可能なサービスになるはずです。

これらはそれぞれ完全に無料のサービスです。これらは、完全なSSL実装に伴う多くの手間をかけずに、同じレベルのSSL暗号化とセキュリティを提供します。上記のリンクで各サービスの詳細を読むことができますが、Cloudflareの基本原則は、SSL証明書を無料で提供し、完全に安全な検索者にサイトのキャッシュバージョンを提供することです。サーバーとクライアント間の通信は安全ではありませんが、サイト訪問者は引き続き安全なサイトに到着します。

CloudflareSSL暗号化プロセス

一方、Let's Encryptは、WPEngineなどのWebサーバーを介して自動的に構成できる無料のSSL証明書を提供します。認証局がドメインを検証すると、Let'sEncryptはSSL証明書をサイト全体に提供します。

SSL暗号化プロセスを暗号化しましょう

このオプションを選択しない場合は、サイトに公開する前にすべてをテストすることをお勧めします。ステージングサイトがある場合は、ライブサイトを移行する前に、そこにあるすべてのページでSSL実装をテストしてください。サイトマップやrobots.txtファイル内のリンク、サイト全体のリンク、画像、送信フォームなど、すべてを確認します。

最後に、サイトのHTTPバージョンを指すリンクを取得するためのグローバルリダイレクトが設定されていることを確認してください。 CloudFlareとLet'sEncrypt（および他のほとんどの環境）はこのリダイレクトを自動的に設定しますが、これがトランジションに含まれていることを確認してください。あなたが望む最後のことはあなたの被リンクから公平を失うことです。

同時に、オンサイトリンクに使用するURL構造を確認してください。リンクが相対URLパス（/ stuff /）ではなく完全なURLパス（ http://www.example.com/stuff/ ）を使用している場合、それらのリンクは移行後に更新されない可能性があります。リンクプロファイルを廃止するために必要な言い訳をGoogleに与えないでください。これらの機能の両方を再確認してください。

移行後

移行が完了したからといって、作業がまだ終わっているわけではありません。場合によっては、余波は実際の移行自体と同じくらい難しい場合があります。

最初に実行したいのは、サイトのサードパーティスクリプトを確認することです。 HTTPSの移行を完了したクライアントが1人いて、サイト全体の書体全体が消えたことを発見しました。彼らのカスタムフォントはWordPressのデフォルトのブロック文字に置き換えられ、サイトが不格好で扱いにくいように見えました。私たちが発見した問題は、それらの書体が、HTTPSファイルとしてフォントライブラリを提供していないサードパーティのサービスからインポートされたことでした。ファイルをHTTPSプロトコルに更新できるようになると、フォントは通常の状態に戻ります。

移行に取り組んでいる別のクライアントは、Pardot.comからインポートされたサイト全体に多数の送信フォームを持っていました。サイト上の他のほとんどのリソースが正しく移行されたにもかかわらず、これらの送信フォームは移行せず、以前は完全なサブスクリプションフォームがあった場所に一連の空白の入力ボックスが残りました。以前と同様に、サブスクリプションフォームはデフォルトでHTTPSに移行されなかったことが判明しました。リンクを更新したら、フォームは順調でした。

HTTPS移行後、Pardot送信フォームが空白になります

私たちが遭遇した最も一般的な問題は、安全でない画像です。おそらく最初に気付く警告の1つは、次のようなエラーメッセージです。

HTTPS移行後の安全でないサイト

多くの場合、サイトの移行中に、サイトに含まれる画像のURLアドレスは安全ではありません。サイトを移行した後でも、外部サイトからインポートされた画像には安全でないURLが含まれていることが多く、サイトのコンテンツが危険にさらされている可能性があることをユーザーに警告するようにGoogleChromeに促します。

現在、「しかし、サイト上のすべての画像をチェックして、どれが安全でどれが安全でないかを知るにはどうすればよいのか」と言う人もいます。あなたにとって幸運なことに、私たちは解決策を持っています。 Screaming Frog内で、サイトをクロールしているときに、HTTPアドレスを持つ画像を検索するカスタム抽出を設定できます。

スクリーミングフロッグカスタム抽出

カスタム抽出はXPathタイプに設定し、HTML要素を抽出するように設定する必要があります。次に、抽出コードとして次のスニペットを使用します。

 // img [contains（@ src、 'http：//'）]

クロールが完了すると、[抽出]タブに、安全でない画像とそれらの画像のソースコードを含むページの全リストが表示されます。そこから、URLをHTTPSアドレスに更新できます。

サイト上の安全でないHTTP画像のリスト

次に、サイトのHTTPSバージョンをGoogle検索コンソールに追加します。 Googleがサイトが安全になったことを認識し、表示されるランキング結果をユーザーに切り替えるには、しばらく時間がかかります。検索コンソールでサイトのHTTPSバージョンを確認するのが早ければ早いほど、Googleは安全なサイトのインデックス作成を開始し、検索結果でユーザーに提供することができます。

Google検索コンソールでHTTPSサイトを確認する

第3に、HTTPSに加えて、サーバーが一般的なインターネットプロトコルの最新バージョンであるHTTP /2.0を使用していることを確認する必要があります。上記からCloudFlareまたはLet'sEncryptを使用する場合、サーバーはデフォルトでHTTP /2.0互換である必要があります。念のため、 https：//tools.keycdn.com/http2-testでクイックチェックを実行しても問題はありません。

移行後に実行する最後のステップは、次の数週間および数か月にわたってオーガニックトラフィックを常に監視することです。上記のリンクでRandFishkinが指摘したように、Mozは移行後3か月で検索トラフィックの11％を失い、他の多くのサイトでも同様の損失が報告されています。

そのトラフィックをすぐに回復するためのオプションはほとんどないかもしれませんが、ランキングでドロップした検索クエリや、オーガニックトラフィックが減少したページに注意を払う必要があります。これらのページがすぐに回復しないと仮定すると、それはサイトでより深刻な問題が発生していることを示している可能性があります。それがより深刻な問題である場合は、オーガニックトラフィックが減少したときにどうするかについての手順に従ってください。

繰り返しになりますが、HTTPSへの移行はあなたが取らなければならないステップです。グーグルはこれについてますます固執するようになっているだけであり、それはあなたのサイト訪問者にポジティブなユーザーエクスペリエンスを提供するための不可欠な部分でもあります。残念ながら、これが重要であるからといって、それが迅速または簡単であるとは限りません。上記のガイドに従ってください。HTTPS移行の最も一般的なトラップと落とし穴を回避できます。メリットはそれだけの価値があります。