HTTPS / HTTP
よみ: エイチティーティーピーエスエイチティーティーピー
HTTP は Web の通信プロトコル、HTTPS は SSL/TLS の暗号化を加えた安全な版。ブラウザとサーバの間でやり取りされる内容(フォーム入力・Cookie・パスワード)を第三者から見えなくする。現在は HTTPS が標準で、HTTP のままだとブラウザが「保護されていない通信」と赤色で警告を表示する。
本書のスタンス(Lesson 1-4 / 6-3 / 8-1)としては、HTTPS 化は前提条件。Google の評価軸の一つでもあり、http → https の 301 リダイレクト漏れは内部 SEO の重大リスク領域(Lesson 6-3)。公開直前チェックでも HTTPS の全ページ適用は必須項目で、ここを落とすと SEO の評価がリセットされる事故になる。
担当者が見るべきポイント:全ページが https で配信されているか、http アクセスを 301 で https にリダイレクトしているか、リダイレクトループになっていないか、Cookie に Secure / HttpOnly / SameSite 属性が付いているか。Mixed Content(HTML 本体は https なのに画像・動画・iframe が http)はブラウザがブロックして表示崩れの原因になる。Search Console の「セキュリティと手動による対策」も合わせて見る。
落とし穴は、証明書の自動更新を信じ込んで切れた(更新失敗の通知が誰にも届いていなかった)、サブドメインだけ証明書が漏れて警告、リダイレクトを多段で組んで遅延、本番だけ HTTPS でステージングが HTTP のままで本番反映時にハードコードされた http:// リンクが混入。「動いている = 正しく組まれている」ではない領域で、定期的に SSL Labs のスコアと Search Console の警告を見る運用が必要。
言葉をよく利用する人
- インフラエンジニア
- コーダー / フロントエンドエンジニア
- Web 担当者(発注側)
- バックエンドエンジニア
- SEO 担当者
会話上での使用例
公開直前のチェックで担当者がコーダーに確認する場面
-
Web 担当者
本番反映前に確認です。全ページ HTTPS になってますよね?画像 / 動画も含めて
-
コーダー
はい、Mixed Content チェックは Lighthouse で 0 件確認済み。httpアクセスはhttpsへ 301 で飛ぶ設定です。wwwあり / なしの正規化もしてます -
Web 担当者
OK です。
robots.txtとsitemap.xmlの URL もhttpsに統一されているか最後に確認お願いします
担当者が SSL 証明書の警告が出ているとお客様から指摘された場面
-
Web 担当者
お客様から「HTTPS 警告が出る」と。Chrome で確認したら本当に出ました
-
インフラエンジニア
Let's Encrypt の自動更新が失敗してそのまま 90 日経過した状態でした。今すぐ手動更新で復旧、合わせて更新失敗時の通知先を社用 Slack に変更します