HTTP→HTTPS移行 完全ガイド

HTTPからHTTPSへの移行には、証明書のインストール以上のことが必要です。リダイレクトの更新、内部リンクの修正、混合コンテンツの対応、外部サービスの更新、検索エンジンが変更を認識しているかの確認が必要です。このガイドではすべてのステップを解説します。

なぜ今移行すべきか？ 2026年10月にChromeはHTTPS-Firstをデフォルトで有効にします。HTTPサイトにはフルページの警告が表示されます。Webサイトの86.9%が既にHTTPSを使用しています。まだHTTPを使っている場合、少数派に入ります。

完全な移行チェックリスト

フェーズ1: 証明書の取得とインストール

• 1. 無料証明書を取得する — GetHTTPSから（5分、インストール不要）
• 2. サーバーにインストールする — Nginx | Apache | cPanel | WordPress | IIS
• 3. HTTPSの動作を確認する — https://yourdomain.comにアクセスし、パドロックを確認

フェーズ2: リダイレクトとコンテンツ

• 4. 301リダイレクトを設定する — すべてのHTTP URLからHTTPSへ
• 5. 混合コンテンツを修正する — すべてのhttp://リソースURLをhttps://または相対パスに更新
• 6. 内部リンクを更新する — http://yourdomain.com/pageをhttps://または/page（相対パス）に変更
• 7. canonicalタグを更新する — <link rel="canonical" href="https://yourdomain.com/page">
• 8. サイトマップを更新する — https:// URLで再生成

フェーズ3: 外部サービス

• 9. Google Search Console — https://プロパティを追加し、更新したサイトマップを送信
• 10. Google Analytics — 設定 → プロパティ → デフォルトURL → https://に変更
• 11. SNSプロフィール — Twitter、LinkedIn、FacebookなどのWebサイトURLを更新
• 12. メール署名とテンプレート — リンクをhttps://に更新
• 13. サードパーティ連携 — Webhook URL、APIコールバック、CDNオリジン設定

フェーズ4: 強化と検証

• 14. HSTSを有効にする — max-age=300（5分）から始めて、確認後に増やす
• 15. SSL Labsでテストする — Grade Aを目標に

よくある落とし穴

リダイレクトループ

HTTPS設定もHTTPSへリダイレクトしている場合、無限ループになります。HTTPサーバーブロック（ポート80）のみがリダイレクトし、HTTPSブロック（ポート443）は通常通りコンテンツを配信するようにしてください。

プロキシの背後（Cloudflare、AWS ALB）：プロキシはサーバーにHTTPを送信します。接続プロトコルの代わりにX-Forwarded-Protoを確認してください。詳細 →

SEOランキングの一時的な低下

正常な動作です。Googleは新しいURLでページを再クロールして再インデックスする必要があります。301リダイレクトはリンクエクイティを転送します。ほとんどのサイトでは2〜4週間でランキングが安定します。SSLとSEO →

データベース内のハードコードされたHTTP URL

WordPressなどのCMSは絶対URLをデータベースに保存しています。リダイレクトはページURLを処理しますが、コンテンツ内の<img src="http://...">は混合コンテンツを引き起こします。一括置換を実行してください：

# WordPress (WP-CLI)
wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --all-tables

サブドメインの忘れ

example.comはリダイレクトしてもblog.example.comをリダイレクトしなければ、そのサブドメインはHTTPのままです。すべてのサブドメインを確認してください。ワイルドカード証明書の利用も検討してください。

サードパーティスクリプトがまだHTTP

広告ネットワーク、アナリティクス、チャットウィジェット、埋め込みマップなど、すべてのサードパーティスクリプトがhttps://を使用しているか確認してください。ほとんどの最新サービスはHTTPSに対応しています。対応していないものがあれば、代替を見つけてください。

移行後の検証

# リダイレクトが動作するか確認
curl -I http://yourdomain.com
# 表示されるべき: 301 → https://yourdomain.com

# HTTPSが動作するか確認
curl -I https://yourdomain.com
# 表示されるべき: 200 OK

# 混合コンテンツの簡易スキャン
curl -s https://yourdomain.com | grep -i 'http://' | grep -v 'https://'

ブラウザでの確認： Chrome DevTools → Consoleで各主要ページを開き、混合コンテンツの警告がないか確認します。

SSL Labs: ssllabs.com/ssltestで包括的な評価を取得してください。

よくある質問

移行にどのくらい時間がかかりますか？

シンプルなサイト：30分。WordPress：1〜2時間。複雑な統合を持つ大規模サイト：1〜2日。証明書自体は5分で取得できます（GetHTTPS）。残りはリンクとサービスの更新です。

被リンクを失いますか？

301リダイレクトを使用すれば、いいえ。http://yourdomain.com/pageにリンクしている外部サイトは、リダイレクトをたどってhttps://yourdomain.com/pageに到達します。リンクエクイティは301リダイレクトを通じて転送されます。

トラフィックの少ない時間帯に移行すべきですか？

証明書のインストール自体はダウンタイムをゼロにします（再起動ではなくリロードの場合）。ただし、その後のテストはトラフィックの少ない時間帯の方が容易で、ピーク時間前に混合コンテンツの問題を発見できます。

段階的に移行できますか（ページごと）？

技術的には可能ですが、推奨されません。HTTP/HTTPSが混在した状態になり混乱を招きます。すべてを一度に移行してください。その方がシンプルで、Googleもそれをより適切に処理します。