ある日突然、自社のホームページに「保護されていない通信」「この接続ではプライバシーが保護されません」という警告が表示される。これはSSL証明書(サイトの通信を暗号化する仕組み)の有効期限が切れたことが原因です。放置すれば訪問者の離脱、検索順位の低下、最悪の場合は個人情報の漏洩リスクにまでつながります。この記事では、SSL証明書の期限切れが発生した際にまず何をすべきか、原因の特定から復旧手順、再発防止策までを運用保守の実務家視点で解説します。
SSL証明書の期限切れはサイトの「営業停止」と同じ状態
SSL証明書の有効期限が切れると、ブラウザがサイトへのアクセスをブロックする警告画面を表示します。Google Chromeでは「この接続ではプライバシーが保護されません」という全画面の警告が出て、訪問者は「詳細設定」をクリックしないとサイトの中身を見ることすらできません。この状態は、店舗の入口にシャッターが降りているのと同じです。
弊社の運用実績では、SSL期限切れの状態が24時間続いたサイトで、アクセス数が通常の約20%まで激減した事例があります。ECサイトや予約フォームを備えたサイトの場合、問い合わせや売上に直結する損害が発生します。SSL証明書の期限切れは「そのうち対応すればいい」ではなく、発覚した瞬間に最優先で対処すべき緊急事態です。
訪問者が見る警告画面の実態
SSL証明書が失効すると、主要なブラウザは以下のような警告を表示します。
| ブラウザ | 警告の表示 |
|---|---|
| Google Chrome | 「この接続ではプライバシーが保護されません」(NET::ERR_CERT_DATE_INVALID) |
| Microsoft Edge | 「接続がプライベートではありません」 |
| Firefox | 「警告 潜在的なセキュリティリスクあり」 |
| Safari | 「この接続はプライベートではありません」 |
いずれのブラウザでも、警告を無視してサイトにアクセスする操作は複数のクリックが必要です。一般の訪問者がこの手順を踏んでまでサイトを閲覧してくれることは、まずありません。(技術者でない限り、警告画面を見た瞬間にブラウザを閉じます)関連してホームページが見れない原因と解決方法もあわせて参考にしてください。
検索順位への悪影響は即座に発生する
Googleは2014年にHTTPSをランキングシグナル(検索順位の評価要素)として使用することを公式に発表しています(出典 Google Search Central Blog HTTPS as a ranking signal)。SSL証明書が失効してHTTPSが無効になると、この評価要素を失うことになります。さらに、Googleのクローラー(検索エンジンの巡回ロボット)がSSLエラーのあるサイトを正常にクロールできない場合、インデックス(検索結果への登録)自体が外れるリスクもあります。復旧後にインデックスが戻るまでには数日〜数週間かかることがあり、その間のビジネス機会の損失は計り知れません。
SSL証明書の期限切れが起きる3つの原因
SSL証明書の有効期限切れは、技術的な障害ではなく「管理の不備」が原因で発生するケースがほとんどです。弊社が対応してきたSSL期限切れ案件の原因を分類すると、以下の3つに集約されます。
自動更新の設定が外れている、または未設定
レンタルサーバーが提供する無料SSL(Let’s Encrypt等)は、通常は自動更新が有効になっています。しかし、サーバーの設定変更やドメインの追加・変更を行った際に、自動更新の設定が外れてしまうことがあります。特にサーバー移転後に自動更新の設定を忘れるケースが多く、移転から数ヶ月後に突然期限切れが発生して初めて気づくというパターンです。(移転直後は残存期間があるため問題が顕在化しません)
更新通知メールを見落としている
SSL証明書の発行元やレンタルサーバー会社は、期限切れの30日前や7日前に更新通知メールを送信しています。しかし、登録されているメールアドレスが退職者のものだったり、通知メールが迷惑メールフォルダに振り分けられていたりすると、更新時期を見落とすことになります。弊社が引き継いだ案件の中にも、登録メールアドレスが5年前に退職した担当者のものだったケースがありました。通知が届いていたとしても、誰も確認できない状態だったのです。
有料SSL証明書の支払い手続きが滞っている
有料のSSL証明書(企業認証型や拡張認証型)を利用している場合、証明書の更新には費用の支払いと審査手続きが必要です。クレジットカードの有効期限切れで自動決済が失敗していた、請求書の処理が経理部門で止まっていた、という人為的なミスでSSLの更新が行われないケースがあります。有料SSL証明書の更新には発行まで数日〜1週間程度かかる場合もあるため、支払いが遅れるとそのまま期限切れに直結します。
期限切れ発覚時にまず行うべき緊急対応
SSL証明書の期限切れに気づいたら、以下の手順で緊急対応を行ってください。サイトの規模や利用しているサーバーによって具体的な操作は異なりますが、基本的な流れはどの環境でも共通です。
サーバーの管理画面でSSL証明書の状態を確認する
まず、利用しているレンタルサーバーの管理画面(コントロールパネル)にログインし、SSL証明書の状態を確認します。主要なレンタルサーバーでの確認場所は以下の通りです。
| レンタルサーバー | 確認場所 |
|---|---|
| エックスサーバー | サーバーパネル → SSL設定 |
| さくらのレンタルサーバ | コントロールパネル → ドメイン/SSL → SSL証明書 |
| ロリポップ | サーバーの管理・設定 → セキュリティ → 独自SSL証明書導入 |
| ConoHa WING | サイト管理 → サイトセキュリティ → 独自SSL |
管理画面で「有効期限切れ」「無効」「OFF」などの表示があれば、SSL証明書が失効している状態です。
無料SSLの場合は再設定で即日復旧できる
Let’s Encryptなどの無料SSLを利用している場合、サーバーの管理画面からSSL証明書の再発行・再設定を行うことで、多くの場合は数分〜数時間で復旧できます。エックスサーバーやConoHa WINGでは、管理画面でSSLの「ON」ボタンをクリックするだけで自動的に証明書が再発行されます。復旧後は、ブラウザでサイトにアクセスして鍵マークが表示されていることを必ず確認してください。
Let’s Encryptの証明書は有効期間が90日と短い設計ですが、これはセキュリティを高めるための意図的な仕様です(出典 Let’s Encrypt FAQ)。短い有効期間によって自動更新の仕組みが前提となり、長期間放置されるリスクを低減しています。逆に言えば、自動更新が正常に動作していなければ90日ごとに期限切れが発生するため、設定の確認が欠かせません。
有料SSLの場合は一時的に無料SSLへ切り替える応急処置も検討する
有料SSL証明書の更新手続きに時間がかかる場合、サイトが「保護されていない通信」のまま放置されることを避けるために、一時的にLet’s Encryptなどの無料SSLを設定する応急処置が有効です。無料SSLでサイトのHTTPS通信を復旧させた上で、有料SSL証明書の更新手続きを進めるという二段構えの対応です。(表示される警告を1日でも早く解消することが最優先です)
復旧後に必ず確認すべきチェック項目
SSL証明書を再設定した後は、単に「鍵マークが表示された」だけでは安心できません。以下の項目を必ず確認してください。復旧後の確認を怠ると、一部のページだけHTTPのまま残っている「混在コンテンツ」の問題などが発生し、完全な復旧に至らないことがあります。
全ページがHTTPSでアクセスできるか確認する
トップページだけでなく、下層ページや問い合わせフォーム、ブログ記事ページなど、主要なページにHTTPSでアクセスできるか確認してください。特に、WordPressサイトの場合は「設定」→「一般」で登録されているサイトURLが「https://」になっているかも確認が必要です。ここが「http://」のままだと、内部リンクがHTTPで生成され続け、混在コンテンツの原因になります。HTTPS化の基本的な設定手順はHPのHTTPS化完全ガイドで詳しく解説しています。
HTTPからHTTPSへのリダイレクトが正常に動作しているか
「http://」でアクセスした際に、自動的に「https://」へリダイレクト(転送)されるかを確認してください。リダイレクトが設定されていないと、HTTPでアクセスしたユーザーには暗号化されていない通信が提供されてしまいます。リダイレクトは通常、.htaccessファイルやサーバーの管理画面で設定します。弊社の保守案件では、SSL復旧後にリダイレクト設定が外れていたケースも経験しています。
混在コンテンツ(Mixed Content)が発生していないか
HTTPSのページ内に、HTTPで読み込まれている画像やスクリプトが混在する「Mixed Content(混在コンテンツ)」が発生していると、ブラウザのアドレスバーに鍵マークが表示されない、または警告アイコンが表示されることがあります。Google Chromeのデベロッパーツール(F12キー)のConsoleタブで「Mixed Content」のエラーが出ていないか確認してください。Googleは混在コンテンツに対するブラウザの対応方針を公式に公開しています(出典 Chromium Blog No More Mixed Messages About HTTPS)。混在コンテンツは、画像URLやCSS・JavaScriptの読み込みパスを「https://」に修正することで解消できます。
Google Search Consoleでエラーが出ていないか確認する
SSL証明書が失効していた期間中に、Googleのクローラーがサイトをクロールしていた場合、Search Consoleにエラーが記録されている可能性があります。「カバレッジ」レポートや「HTTPS」レポートを確認し、エラーが出ていれば復旧後にインデックスの再登録をリクエストしてください。URL検査ツールで主要なページのインデックス状況を確認し、問題があれば「インデックス登録をリクエスト」をクリックすることで、Googleに再クロールを促すことができます。
SSL証明書の期限切れを二度と起こさないための再発防止策
SSL証明書の期限切れは、一度復旧すれば終わりではありません。同じ原因で再発しないよう、管理体制を整えることが重要です。弊社が保守を担当しているサイトでは、以下の対策を標準で実施しており、SSL期限切れの再発はゼロ件です。
自動更新の設定を有効にして定期的に動作を確認する
レンタルサーバーの無料SSL(Let’s Encrypt等)を利用している場合は、自動更新が有効になっているかを確認してください。自動更新が有効であっても、サーバー側のエラーやドメインのDNS設定変更などで更新が失敗することがあります。月に1回程度、SSL証明書の有効期限を管理画面で確認する習慣をつけるのが確実です。こうした定期作業の全体像はHPメンテナンスの完全ガイドにまとめています。手動で確認する場合は、ブラウザのアドレスバーにある鍵マークをクリックし、「証明書」の項目から有効期限を確認できます。
更新通知メールの送信先を現任の担当者に設定する
サーバー会社やSSL証明書発行元に登録しているメールアドレスが、現在の担当者のものであることを確認してください。退職者や異動者のアドレスのまま放置されているケースは非常に多いです。可能であれば、個人のメールアドレスではなく、部門共有のメーリングリスト(例 webmaster@自社ドメイン)を登録しておくと、担当者が変わっても通知が途切れません。
SSL証明書の有効期限を管理台帳で管理する
複数のドメインやサブドメインを運用している企業では、SSL証明書の管理が煩雑になりがちです。以下の情報を管理台帳(スプレッドシートなど)で一元管理してください。
- 対象ドメイン名
- SSL証明書の種類(無料SSL / 企業認証 / 拡張認証)
- 有効期限
- 自動更新の有無
- 管理しているサーバー会社
- 更新通知の送信先メールアドレス
弊社の保守プランでは、この管理台帳の作成と定期的な期限チェックを月次業務の一環として行っています。中小企業の場合、こうした「地味だが確実に必要な管理業務」が後回しにされがちですが、後回しにした結果がSSL期限切れという形で表面化するのです。
無料SSLと有料SSLの違いと中小企業が選ぶべき証明書
SSL証明書には無料のものと有料のものがあり、「有料のほうが安全」と思い込んでいる方も少なくありません。結論として、中小企業のコーポレートサイトやブログであれば、無料のLet’s Encryptで十分です。暗号化の強度は無料でも有料でも同じであり、通信の安全性に差はありません。
暗号化の強度は無料も有料も同じ
SSL証明書の本来の役割は、サイトとユーザー間の通信を暗号化することです。この暗号化の強度(使用する暗号アルゴリズム)は、無料のLet’s Encryptでも有料の証明書でも変わりません。「無料だから暗号が弱い」ということは技術的にありえません。Let’s Encryptはインターネットセキュリティ研究グループ(ISRG)が運営する非営利の認証局であり、MozillaやGoogle、Ciscoなどが支援しています(出典 Let’s Encrypt About)。信頼性についても問題はありません。
有料SSLが必要になるケースは限られている
有料SSL証明書が必要になるのは、主に以下のような場合です。
| 証明書の種類 | 認証レベル | 必要なケース | 費用の目安(年額) |
|---|---|---|---|
| DV(ドメイン認証) | ドメインの所有者を確認 | 一般的なサイト(Let’s Encryptで代替可能) | 無料〜数千円 |
| OV(企業認証) | 企業の実在性を確認 | 企業の信頼性を明示したい場合 | 3万〜10万円 |
| EV(拡張認証) | 厳格な企業審査 | 金融機関、大規模ECサイトなど | 10万〜30万円 |
中小企業のコーポレートサイトやサービス紹介サイトであれば、DV証明書(Let’s Encrypt)で十分です。年間数万〜数十万円の有料SSL証明書を購入するよりも、その費用をサイトの保守運用に充てるほうが費用対効果は高いです。(高額なSSL証明書を販売するために不安を煽る業者もいますが、中小企業には不要です)
SSL証明書の管理を外部に任せるという選択肢
SSL証明書の管理は、設定自体はそれほど難しくありませんが、「忘れずに継続管理する」ことが最大の課題です。サーバーの管理画面にログインする機会が年に数回しかない中小企業にとって、SSL証明書の有効期限を常に把握しておくのは現実的ではありません。
Web担当者がいない企業ほどSSLの管理は外注すべき
専任のWeb担当者がいる企業であれば、月次の定期チェック項目にSSL証明書の確認を加えるだけで対応できます。外部委託を検討する場合はWordPress保守代行サービスの選び方も参考にしてください。しかし、Web担当者がいない、または兼任で本業が忙しいという企業では、SSL証明書の管理まで手が回らないのが実情です。実際、弊社に「保護されていない通信が出ている」と緊急の問い合わせをしてくる事業者の大半が、Web担当者不在の中小企業です。「誰かが管理してくれているだろう」という曖昧な状態が、期限切れの最大の原因です。
保守契約にSSL管理を含めることでリスクをゼロにする
Web管理の保守プランでは、SSL証明書の管理を標準サービスとして提供しています。具体的には、SSL証明書の自動更新の監視、有効期限の定期確認、期限切れ発生時の即時対応、更新通知メールの管理先設定まで、SSL証明書に関わる管理業務をすべて代行します。月額1万円のベーシック運用プランの範囲内に含まれているため、追加費用はかかりません。SSL証明書の管理だけでなく、サーバー・ドメインの管理、WordPressの更新、バックアップなど、サイト運用に必要な管理業務をまとめて外注できます。セキュリティ面の最低限の対策についてはWordPressのセキュリティ保守で最低限やるべき5つのことで解説しています。本業に集中したい経営者にとって、こうした「裏方の管理業務」を丸投げできることの価値は大きいはずです。
最後に
SSL証明書の有効期限切れは、発生してから慌てて対応するのではなく、発生させない仕組みを作ることが最も重要です。とはいえ、すでに「保護されていない通信」の警告が出ている場合は、一刻も早い復旧が最優先です。無料SSLであればサーバーの管理画面から数分で再設定でき、有料SSLでも応急処置として無料SSLを一時的に適用する方法があります。復旧後は、リダイレクト設定や混在コンテンツの確認を忘れずに行い、再発防止策として自動更新の確認と管理体制の整備を進めてください。
Web管理では、SSL証明書の管理を含むホームページの保守・運用を月額1万円から代行しています。「保護されていない通信と表示されて困っている」「SSLの管理を誰がやっているかわからない」といった状況でも、お問い合わせいただければ即日対応いたします。SSLの期限切れ対応だけでなく、サーバーやドメインの管理、WordPressの更新まで、Webのことは丸投げして本業に集中できる環境を一緒に作りましょう。
