SSL証明書が切れたら何が起きるか
——実際の被害と対応コスト
ある日突然、自社サイトを開いたお客様に「⚠️ この接続は安全ではありません」と表示された——これは実際によくある事故です。SSL証明書の期限切れは、一見すると「証明書を更新すれば終わり」と思われがちですが、意外なほど大きな連鎖被害を引き起こします。放置すればするほど、失われるものが増えていきます。
SSLとは何か——30秒で理解する
まず「SSL」という言葉に馴染みがない方に、シンプルな例えで説明します。
郵便で手紙を送るとき、封筒に入れて送るか、中身が丸見えのハガキで送るか——SSLは「封筒」の役割をします。あなたがサイトに入力した情報(住所・カード番号・パスワードなど)が、暗号化されたまま安全に届くのはSSLのおかげです。
さらにその封筒には、「本物の差出人から来た」という公的な認証シールが貼られています。ブラウザのアドレスバーに表示される「鍵マーク(🔒)」が、そのシールに相当します。
証明書が切れる = その認証シールの有効期限が切れた状態です。封筒はあっても、「本物かどうか確認できない」とブラウザが判断し、訪問者に警告を出します。
サイトのURLが「https://」で始まっているのは、SSL(正確にはその後継のTLS)による暗号化通信が有効な証拠です。「http://」のままのサイトは暗号化されておらず、ブラウザによってはすでに警告が表示されます。
証明書が切れると何が起きるか
証明書の期限が切れると、被害は段階的に連鎖していきます。「更新するまでの数日間だけ」のつもりが、気づかないうちにビジネスへの深刻なダメージになっているケースが少なくありません。
① ブラウザが警告を表示する
Chromeでは真っ赤なエラー画面が表示され、「この接続は安全ではありません」という大きな文字が出ます。訪問者が「詳細設定」から進もうとしても、さらに「危険なサイトに進みますか?」という警告が続きます。一般のユーザーがこの画面を突破してサイトに入ることはほぼありません。
「⚠️ この接続は安全ではありません」
「攻撃者がサーバーになりすまして、あなたの情報(パスワード、メッセージ、クレジットカードなど)を盗もうとしている可能性があります。」
② サイトへのアクセスが激減する
上記の警告が出ると、ほとんどのユーザーはすぐに離脱します。ECサイトや予約フォームであれば、警告が出ている間の売上はほぼゼロになると考えてよいでしょう。問い合わせ件数も同様です。
③ Googleの検索順位が下落する
GoogleはHTTPSを検索順位の評価要因にしています。証明書が切れてHTTPに戻ると、これまで積み上げてきたSEOの評価が下がります。証明書を更新して復旧しても、失った順位が戻るまでには数週間から数ヶ月かかることがあります。
④ 問い合わせフォームが使えなくなる
フォームへの入力・送信も、ブラウザがブロックする場合があります。「問い合わせしようとしたら怖い画面が出て諦めた」という見込み顧客は、二度と戻ってこないかもしれません。
⑤ メール配信・決済システムに影響が出るケースも
メールマーケティングツールや決済サービスは、自社サイトのSSL状態をチェックする場合があります。外部サービスとの連携が切れると、自動メール配信の停止・決済エラー・Webhook通知の失敗につながることがあります。
よくある「なぜ切れた」3パターン
「まさかうちがこんな失敗を」——SSL証明書の期限切れは、意外にも管理が行き届いている会社でも起きています。よくある原因を3つ整理します。
-
1
担当者が退職して管理者が不明になった
SSL証明書の管理者情報や更新手順が、退職した担当者の頭の中にしかなかった——というケースは非常に多いです。引き継ぎがされないまま更新期限を迎えると、誰も気づかないまま切れてしまいます。
-
2
自動更新の設定が外れていた
「自動更新にしてあるから大丈夫」と思っていたら、サーバー移行やプラン変更のタイミングで設定がリセットされていた——というパターンです。自動更新の設定は「今も有効か」を定期的に確認する必要があります。
-
3
複数のドメインを持っていて1つを見落とした
メインドメインの他に、サブドメインや旧ドメイン、キャンペーン用ドメインなど複数を運用している場合、どれか1つが見落とされやすくなります。「主要サイトは大丈夫」と思っていても、採用サイトやECサイトが別ドメインで切れていた、というケースがあります。
今すぐできること
難しい知識は不要です。以下の4ステップを今日中に確認しておくことで、トラブルを未然に防げます。
-
1
自社ドメインのSSL有効期限を確認する
Chromeで自社サイトを開き、アドレスバーの鍵マーク(🔒)をクリック→「この接続は安全です」→「証明書は有効です」をクリックすると、有効期限が表示されます。期限まで30日を切っていたら要注意です。
-
2
管理者・更新担当者を明確にしておく
「誰がいつ更新するか」をドキュメントに残し、特定の人だけが知っている状態を解消しましょう。更新期限の1ヶ月前・2週間前にリマインダーを設定しておくと安心です。
-
3
自動更新サービスを使う
Let's Encrypt(無料)やサーバーのAutoSSL機能を使えば、証明書の更新を自動化できます。ただし「自動更新が今も動いているか」は定期的に確認が必要です。設定したまま放置すると、更新に失敗していても気づかないことがあります。
-
4
定期的に外部から確認する仕組みを作る
SSL Labs(ssllabs.com)などの外部ツールを使うと、自社サイトのSSL状態を客観的に確認できます。月に一度チェックするだけでも、期限切れを防ぐことができます。あるいは、Leapsecの無料診断を使えば、SSLの有効期限も含めた外部からの診断を自動で受け取れます。
まとめ——今日確認しておくこと
- SSLは「封筒の認証シール」——切れると訪問者に真っ赤な警告が表示される
- 警告が出ている間のCV率はほぼゼロになる。売上・問い合わせが止まる
- SEOへのダメージは長期化する。回復に数週間〜数ヶ月かかることがある
- 原因の多くは「担当者退職」「自動更新の設定外れ」「複数ドメインの見落とし」
- 鍵マーククリックで今すぐ有効期限を確認できる。30日を切ったら即対応
- 外部からの定期チェックで、自分では気づけないリスクを把握できる
Leapsecの無料診断で、SSLの有効期限も自動チェック
ドメインを入力するだけで、SSL証明書の状態・有効期限・セキュリティヘッダー・DNS設定など外部から見えるリスクを一括診断します。
「まず今の状態を知る」ところから始めましょう。
結果はメールで届きます。営業電話は一切ありません。
参考
Google Search Central — HTTPS as a ranking signal / Mozilla Web Docs — Transport Layer Security / Chrome Security UX(Googleのセキュリティ警告仕様)
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)