保護されていない通信がhttpsなのに表示される原因と正しい対処法
保護されていない通信がhttpsなのに表示される主な原因
Webサイトをhttps化しているのに「保護されていない通信」と表示されることがあります。この現象にはいくつかの理由が考えられます。
SSL化されていないファイルを読み込んでいる場合
サイト全体をhttps化しても、一部の画像やスクリプトなどがhttpのままで読み込まれている場合、ブラウザは「保護されていない通信」と警告を表示することがあります。これを「混在コンテンツ」と呼びます。
たとえば、ページ自体はhttpsでアクセスできていても、外部の画像やJavaScript、CSSファイルのURLがhttpになっていると、通信の一部が暗号化されません。ユーザーの安全を守るため、最近のブラウザはこのような状況に対して警告を強めています。ファイルのURLをすべてhttpsに統一することが大切です。
サーバー証明書の有効期限切れが原因になるケース
SSL証明書には有効期限が設定されています。有効期限が切れた場合、httpsであっても安全な通信とはみなされず、「保護されていない通信」と表示されます。
証明書が期限切れだと、通信内容を第三者が盗み見たり、改ざんしたりするリスクが高まります。サーバー管理者は証明書の有効期限を定期的に確認し、期限が近づいたら早めに更新手続きを行うことが重要です。
TLSプロトコルのバージョンが古い場合
SSL/TLSは、インターネット通信の暗号化技術です。このうちTLSのバージョンが古いと、ブラウザが安全性を確保できないと判断し、警告を表示することがあります。
特にTLS 1.0や1.1は、セキュリティ上の問題から多くのブラウザでサポート対象外となっています。サイト運営者は、サーバーでTLS 1.2以上が利用できるかどうか、定期的に確認しておく必要があります。
具体的な対処方法と解消手順
「保護されていない通信」の表示を解消するためには、原因ごとに適切な対応が求められます。ここでは、具体的な手順を紹介します。
混在コンテンツの修正方法
混在コンテンツを修正するには、httpで読み込んでいるファイルをすべてhttpsに変更することがポイントです。まず、Webサイト内のソースコードやCMSの設定画面から、httpのURLを探して見直します。
たとえば、WordPressでは「メディア」の画像URLや、ウィジェット・プラグインで外部リソースを読み込んでいる部分を確認します。以下のような手順がおすすめです。
- サイト全体を検索してhttpで始まるURLを抽出する
- 該当するファイルのURLをhttpsに書き換える
- 外部サービスの場合はhttps対応のものを利用する
- ブラウザの検証ツールで修正後も混在コンテンツが残っていないか再確認する
これらを進めることで、「保護されていない通信」の警告を解消できます。
サーバー証明書の再発行と更新手順
SSL証明書の有効期限が切れている場合は、証明書を再発行・更新する必要があります。証明書提供会社やレンタルサーバーの管理画面から更新手続きを進めます。
更新手順の例は以下の通りです。
- サーバー証明書の有効期限を確認する
- 証明書の更新手続きまたは新規取得を行う
- 新しい証明書をサーバーにインストールする
- 正しくインストールされたかブラウザで確認する
証明書の更新は有効期限ギリギリではなく、余裕を持って準備することが大切です。
TLS設定の確認と最新バージョンへの対応
サーバーのTLSバージョンが古い場合は、管理画面やサーバーの設定ファイルから、TLS 1.2以降が有効になっているかを見直しましょう。
多くのレンタルサーバーでは、管理画面からTLSのバージョンを切り替えることができます。自分でサーバーを管理している場合は、設定ファイル内の「SSLProtocol」や「TLSVersion」などの項目を編集する必要があります。不安な場合は、サーバー会社のサポートに問い合わせるのもおすすめです。
Webサイト運営者が注意すべきポイント
安全で信頼されるWebサイト運営のためには、通信の保護に関する基本的なポイントを押さえておくことが重要です。
常時SSL化とリダイレクト設定の重要性
すべてのページをhttpsで運用する「常時SSL化」は、サイトの安全性向上に欠かせません。トップページだけでなく、下層ページや管理画面もhttpsで統一してください。
また、httpからhttpsへのリダイレクトを設定することで、アクセスしたユーザーが必ず安全なページに遷移できるようになります。リダイレクト設定は.htaccessファイルやサーバー管理画面から行えます。設定ミスを防ぐため、リダイレクト後に各ページが正しく表示されるかも必ずチェックしましょう。
ブラウザキャッシュやHSTSの影響
一度「保護されていない通信」と表示されると、ブラウザのキャッシュやHSTS(HTTP Strict Transport Security)という仕組みにより、修正後も表示が残ることがあります。
この場合、以下のような対策が考えられます。
- ブラウザのキャッシュを削除する
- HSTSの設定を見直す
- シークレットウィンドウで再度アクセスする
HSTSは、過去にhttpsで接続したサイトに自動的に安全な通信を促す仕組みですが、誤った設定の場合は慎重に扱いましょう。
WordPressや実例でよくあるトラブルと対策
WordPressでは、テーマやプラグインがhttpリソースを読み込むことによる混在コンテンツがよく見られます。対策としては、プラグインの更新や、functions.php、カスタマイズ部分でのURL修正が有効です。
また、画像がhttpのまま登録されている場合、プラグインを活用して一括でhttpsに書き換えると手間が省けます。実際の運用では、下記のようなトラブルが発生しやすいです。
| トラブル例 | 対策方法 |
|---|---|
| 画像のURLがhttpのまま | 一括変換プラグインで修正 |
| 外部サービスが非対応 | 代替サービスを検討 |
| 証明書エラー | 証明書の再発行・更新 |
各種トラブルごとに適切な対策をとることが、サイトの信頼性を保つうえで大切です。
保護されていない通信の表示を防ぐための予防策
今後「保護されていない通信」の表示を避けるために、運営者が押さえておくべき予防策をまとめます。
セキュリティ設定の定期的な見直し
セキュリティ設定は一度だけ行えばよいものではありません。インターネット環境やブラウザの仕様は日々変化しているため、定期的な見直しが必要です。
たとえば、証明書の有効期限やTLSバージョンのチェック、サイト内のhttpリンクの有無を定期的に確認しましょう。運営体制によっては、月に1回程度のチェックをルーチン化するのが理想的です。
無料SSLと有料SSLの違いと選び方
SSL証明書には無料と有料のものがあります。選ぶ際のポイントを簡単にまとめます。
| SSLの種類 | 特徴 | 選び方の目安 |
|---|---|---|
| 無料SSL | 基本的な暗号化 | 個人・小規模サイト向け |
| 有料SSL | サポート充実、認証強化 | 企業サイトやECサイト向け |
無料SSLは手軽に導入できますが、サポートや信頼性を重視する場合は有料SSLを選択することをおすすめします。
SEOやユーザー信頼性への影響
https化された安全なサイトは、Googleの評価や検索順位にもプラスとなる傾向があります。また、ブラウザで「保護されていない通信」と表示された場合、ユーザーの不安感が高まるおそれもあります。
サイトの信頼性を高め、良好なユーザー体験を提供するためにも、https化や混在コンテンツの解消は欠かせません。SEOや集客面でも、定期的なセキュリティ対策を心掛けましょう。
まとめ:保護されていない通信を防ぐために必要なポイントと今後の対策
「保護されていない通信」の表示を避けるためには、原因を一つずつ確認し、適切に対応していくことが大切です。SSL化の徹底や証明書の管理、TLSバージョンの維持など、基本的なセキュリティ対策が信頼されるWebサイト運営につながります。
今後も定期的な設定の見直しや、最新のセキュリティ情報へのアンテナを高く持つことが、ユーザーと検索エンジン双方から信頼されるサイトへの第一歩です。日々のメンテナンスと予防の積み重ねを忘れずに続けていきましょう。
