SSL(https化)って結局なに?無料SSLで十分かを本気で考えた

ブラウザのアドレスバーに鍵マークが付いているサイトと、付いていないサイト。違いは何かと聞かれて、すぐに答えられるでしょうか。

鍵マークが付いている=SSL(https)が有効になっている、ということです。最近のサイトはほぼ全部こうなっています。逆に言うと、付いていないサイトは Chrome の警告で「保護されていません」と出てしまう時代。SSL は今や必須インフラです。

SSL が守ってくれるもの

ざっくり言うと、お使いのブラウザとサーバーの間で行き来する通信を 暗号化する 仕組みが SSL です。住所やパスワード、クレジットカード番号などの大事な情報を、通信経路で盗み見されないようにしてくれます。

「うちは個人ブログだから、暗号化が必要な情報は流れていない」と思うかもしれません。が、Google は SSL を 検索順位の評価項目 にしているので、SEO 目的だけでも入れる価値があります。それと、お問い合わせフォームを置くなら名前やメアドが流れるので、最低限の礼儀として。

「Let's Encrypt」って何者

無料 SSL の話をするとき避けて通れないのが Let's Encrypt(レッツ・エンクリプト)。アメリカの非営利団体 ISRG が運営している、無料の SSL 証明書発行サービスです。

最初に出てきた頃は「無料って大丈夫?」「企業サイトで使って恥ずかしくない?」みたいな声もありました。実際に編集部も最初は警戒していました。が、もう10年近く運用されていて、世界中のメガサービスから個人ブログまで、ありとあらゆるサイトで使われています。ブラウザの鍵マークの中身を覗いてみると、ECサイトとか有名企業のサイトでも普通に Let's Encrypt だったりして驚きます。

国内のレンタルサーバーは、ほぼ全社この Let's Encrypt を無料で組み込んでくれています。管理画面のチェック1つで有効になり、3か月ごとの更新も自動。本当にラクな時代になりました。

じゃあ有料 SSL は何のためにある

ここからが本題です。「無料があるのに、なぜ年数万円の有料 SSL が売られているのか?」という疑問。

答えは大きく3つあります。

1つめは「企業情報の表示」。EV SSL と呼ばれる種類は、ブラウザのアドレスバーに会社名を緑色で表示できました。…でしたが、これは2019年頃に Chrome と Firefox が表示をやめてしまい、現在は単なる鍵マークになっています。EV SSL の存在意義の半分はここで消えました。

2つめは「保証金額」。「もしこの証明書のせいで損害が出たら最大1億円補償」みたいな保証が付いてくることがあります。ただ、過去の実例で実際にこの保証が発動した話を、編集部はあまり聞きません。

3つめは「ワイルドカード対応」。*.yoursite.com のように、サブドメインを全部まとめて1枚でカバーできるタイプ。Let's Encrypt もワイルドカードに対応はしていますが、設定がやや上級者向きなので、ここだけは有料証明書の利便性が残っている分野です。

で、結局どっち選べばいいの

編集部の答えはハッキリしていて、

• 個人ブログ、個人事業主、中小企業のコーポレートサイト → 無料 SSL で 100% OK
• 銀行、官公庁、年商10億円超のEC → 有料 SSL を検討

これだけです。月数百万円のサイトでも、無料 SSL で運用しているところは普通にあります。

「企業として無料を使うのは…」という心理的な抵抗だけが、有料に流れる最後の理由。逆に言うと、それ以外には合理的な理由はほぼ無いと考えています。

設定で詰まりがちなポイント

SSL を有効にしたあと、最初の数日で起きがちなトラブル:

• 「鍵マークに!マークが付いている」 → サイト内に http:// で読み込んでいる画像やスクリプトが残っています(混在コンテンツ)。WordPress なら Better Search Replace プラグインで一括置換できます
• 「リダイレクトループになる」 → サーバー側と WordPress 側、両方で http→https リダイレクトを設定してしまっている可能性。どちらか片方に統一を
• 「証明書が反映されない」 → 多くの場合、有効化してから 10〜30分ほどタイムラグがあります。慌てず待ちましょう

まとめ的なもの

SSL は「絶対入れる」「無料で十分」「混在コンテンツに注意」。この3つだけ覚えていれば、個人〜中小規模のサイトでは何も困らないはずです。設定で詰まったらサポートに聞きましょう、というのも最近のレンタルサーバーは無料 SSL の設定支援を当たり前にやってくれます。