HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事
HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう
サイトをHTTPS化したらこちらもご一緒に (Ilya Grigorik on Google+)
グーグルがHTTPS(SSL/TLS)を使っているページの評価を高めることを発表した。この件については国内情報の1つ目で紹介しているが、今週のピックアップでは、サイトをHTTPS化するなら、知っておきたい仕組み「HSTS」と「プリロードHSTS」の2つを紹介する。
HSTS
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。
「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。
たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。
グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。
ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ。そのブラウザが初めてそのサイトにHTTPSでアクセスしたタイミングで、「必ずHTTPSで接続するように」というHSTSを受け取るからだ。
これだと初回のアクセス時にはHTTPでアクセスすることがあり得るので、セキュリティは万全とはいえない(そういうケースの解説)。
プリロードHSTS
だが、HSTSを適用していることをブラウザが事前に知っていれば、初めてアクセスするときからHTTPを使わずHTTPSで接続できる。
この仕組みを「プリロードHSTS(Preload HSTS)」と呼ぶ。
プリロードHSTSの一覧にサイトを登録するフォームを、グーグル社員のイリア・グリゴリク氏がGoogle+で紹介した。このフォームから登録しておけば、ChromeとFirefox、Safariの3製品のブラウザからアクセスしたときは、初回訪問を含めて常にHTTPSでのアクセスを標準にする。
サイトを完全にHTTPSにし、かつサーバー側でHSTSを実装したのならば、ぜひ登録しておこう。
ただし、プリロードHSTSを登録できるのは、ペイレベルドメイン名(example.com)だけだ。サブドメイン単位(sub.example.comなど)では登録できない。
日本語で読めるSEO/SEM情報
安全なサイトを優遇、グーグルがHTTPSをランキング要因に組み込んだ
慌ててHTTPSへ移行しなくても大丈夫 (Google ウェブマスター向け公式ブログ)
グーグルの発表によると、HTTPS(SSL/TLS)を使っていることをランキング決定の要因として利用するようにしたとのことだ。HTTPSのページは、若干ではあるが評価が高くなる。つまり順位が上がることがある。
これを機に、運営サイトを完全にHTTPS化することを真剣に考えるのは良いことだ。
ただし、焦らないでほしい。
HTTPSに変更するということはURLが変わる。URLが変わるということは、すなわちサイトの移転と同じだ。適切に非HTTPSなURLへのトラフィックをリダイレクト設定していないと、順位が上がるどころか、反対に検索トラフィックを大きく失うことにつながりかねない。
今のところは、検索結果全体に与える影響はわずか1%程度だ。逆にいえば、99%の検索は、HTTPSの評価による影響を受けない。
最終的にはHTTPSに切り替えるとしても、公式アナウンスとそこで紹介されている数々のリソース、ヘルプを丹念に読むことから始めよう。入念なテストも必須だ。移行に挑戦したサイトの情報も今後出てくるだろう。準備万端の状態が整ってから移行すればいい。
また、この発表を乱用して「グーグルのSEO対策に効果あり」などとうたい、サーバー証明書をセールスしてくる業者がいるかもしれない(すでに出てきたという噂も耳にしている)。
きちんと状況を理解したうえで購入するのは問題ないが、口車に乗せられることがないように十分に気を付けてほしい。知り合いのウェブ担当者にも、だまされないように注意を促してあげよう。
グーグルは、ウェブを安全な場所にすることに非常に力を注いでおり、今回の決定もその一環と考えていい。HTTPSをランキング要因に組み込んだことにより、HTTPSを使うサイトが増えるだろう。
賛否両論があるにせよ、ウェブの安全性が高まる方向に進むことに間違いない。グーグルにとって最も大切なのは、サイト管理者ではなく検索ユーザーだ。検索ユーザーにとっていちばんメリットになることをグーグルが選択した結果だと筆者は認識している。
ちなみに、グーグルがHTTPSをランキング要因にした理由を安田編集長が考察している。ユーザーにとってのメリット、すなわちユーザーエクスペリエンスの向上をグーグルが第一にしているという点で筆者の考えと共通しているところがあり、まったくそのとおりだとうなずいた。
また、筆者ブログの記事ではもう少し詳しい情報も掲載しているし、ピックアップで紹介したプリロードHSTSの情報もあるので、そちらも参照してほしい。
モバイルサイト設計の25の指針――知らないとライバルサイトに出し抜かれること必至
119時間にわたるユーザビリティテストから導き出された (Inside AdSense)
119時間にわたるユーザビリティテストの結果をもとにまとめた「モバイルサイト設計の指針:ユーザーの満足度とコンバージョンの促進」を、グーグルが発表した。資料はPDFで公開されている。
資料で解説されているデザインの指針は全部で25個。たとえば次のようなものがある。
- メニューは短く簡潔に
- トップページには簡単に戻れるように
- すぐに目につく場所にサイト内検索を設置
- シンプルな入力方法を提供する
- 拡大・縮小いらずで見やすく表示
英語ではしばらく前に公開されていた資料の日本語訳版だ。筆者は英語版を一足早く読んでいたのだが、非常に参考になると断言する。必ず読んでほしい。
「実質のないコンテンツ」の手動対策から4日で生還した事例
謙虚に受け止めて徹底的に対処した結果 (鴨野隼人 x 午後OFFライフ)
「実質のないコンテンツ」だとしてグーグルから手動の対策を受けたサイトが、すみやかに適切に対処し、わずか4日間で解除にこぎつけた自らの体験を書き綴った記事。
不自然なリンクによる手動対策の解除事例は、調べればいくつも見つかる。しかし「実質のないコンテンツ」の詳細な解除事例はほとんど見たことがない。貴重な事例だ。
筆者が感心したのは、こちらの方がグーグルの指摘を謙虚に受け止めて、グーグルが公開している情報を参照しながら、少しでも疑わしいと思ったところを徹底的に修正、改善、ものによっては削除し、さらに再審査リクエストでも適切な内容を送信していたところだ。
グーグルから手動の対策を受けた場合、「何が違反しているのかわからない」と人によっては隅から隅まで自分で調べようとしない。それならまだしも「自分は何も悪いことをしていない」「グーグルが間違っている」と、グーグルを非難する人さえいる。
手動の対策を受けるということは、何かしらの原因が絶対にあるはずだ。怒りの感情に流されずに冷静に対処すれば必ず解除されることを示してくれた事例でもある。
ウェブマスターツールでできるドメイン名設定のキホン
優先するドメイン名と登録するドメイン名のタイプ (Google ウェブマスター コミュニティ on Google+)
夏の間、グーグルのサーチクオリティチームがGoogle+のコミュニティで共有しているWebmasterTipsシリーズをピックアップする(前回はこちらから)。
今回は、ウェブマスターツールに登録するドメイン名の設定についてのTIPSだ。
使用するドメインとは、サイトのページをインデックスに登録するときに優先的に使用するドメインのことです(正規ドメインとも呼ばれます)。サイトへのリンクは、URL に www を含むバージョンと www を含まないバージョンの両方で指定できます(http://www.example.com と http://example.com など)。使用するドメインを設定すると、検索結果にサイトを表示するときに優先的に使用されます。
詳しくは以下のヘルプ ページをご覧ください。
http://goo.gl/q1olwQ.
あなたのサイトが、異なるドメインのバージョンでインデックスされている場合、
ウェブマスター ツール上でサイトのデータが表示されなかったり、極端にデータが少なく表示されることがあります。
たとえば、www.example.com という形式でサイトをウェブマスター ツールに追加していて、優先するドメイン設定や Google がインデックスしているのが www 無しの example.com である、といったケースがよく見られます。
すべてのタイプが適切にウェブマスター ツール上に追加されているか、確認してみてください(www の有無、http/https)。関連ヘルプ記事
https://support.google.com/webmasters/answer/96568?hl=ja#2
今回も基本的な設定だが、きちんとできているか確認してみよう。
Google Domainsの画面を本邦初公開
使いやすいのかが気になる (朝山貴生 on Google+)
グーグルが開始予定の独自ドメイン名管理サービス、「Google Domains(グーグル・ドメイン)」のスクリーンショットを朝山氏がGoogle+に投稿した。
Google Domainsは、ごく一部のユーザーがベータテスターとして利用している(今のところ米国に住所がある人のみ)。
朝山氏によれば、現時点で登録できるドメイン名と登録にかかる金額は次のようになっている。
使い勝手や他のドメイン名登録事業者との違いはどうなのかが気になるところだ。
筆者追記このピックアップを書き終えた後に、筆者の元にもGoogle Domainsの招待メールが届いた。だが残念ながら、ログインはできるものの日本からはドメイン名の購入や移管といった実質的な操作はできなかった。
海外SEO情報ブログの
掲載記事からピックアップ
入力フォームの最適化とサイトのHTTPS移行に関する記事を今週はピックアップ。
- [Google調べ] 入力フォームの最適化のために必須な4つの設定
ユーザーテストから判明した事実 - HTTPからHTTPSへの移行で出てきた質問に回答
役立つQ&A
鈴木 謙一(すずき けんいち)
「海外SEO情報ブログ」の運営者。株式会社Faber Companyの取締役Search Advocate(サーチ・アドボケイト)。
海外SEO情報ブログは、SEOに特化した日本ではもっとも有名なSEO系ブログの1つ。米国発の最新のSEO情報を中心に、コンバージョン率アップやユーザーエクスペリエンス最適化のための施策も取り上げている。
正しいSEOをウェブ担当者に習得してもらうために、ブログでの情報発信に加えて所属先のFaber Companyでは、セミナー講師や講演スピーカーを主たる役割にしている。
必見! Facebookいいね! 人気記事
最近(過去90日間)の記事で、Facebookの「いいね!」が多かった記事をお見逃し無く。
Facebookいいね!の多い記事
Twitterで言及の多い記事
はてなブックマーク人気記事
ソーシャルもやってます!