SSLチェックとは?
SSLチェックとは、Webサイトが暗号化通信を正しく使えているかを確認することです。最近は厳密にはTLSが主流ですが、一般的には今も「SSLチェック」という呼び方が広く使われています。
具体的には、HTTPSで接続できるか、証明書が有効か、期限切れではないか、設定漏れがないかを見ます。サイト運営者だけでなく、制作会社や営業担当が見込み顧客サイトを確認するときにも役立つ基本チェックです。
SSLチェックでまず見るべき7項目
- HTTPSで開けるか
- SSL証明書の有効期限
- 証明書の発行先ドメインが正しいか
- HTTPからHTTPSへリダイレクトされるか
- 混合コンテンツがないか
- HSTSが設定されているか
- CSPやX-Frame-Optionsなど主要ヘッダーがあるか
単に「鍵マークが出るか」だけでは不十分で、周辺設定まで含めて確認しておくと事故を防ぎやすくなります。
1. HTTPSで表示されるか
最初に確認したいのは、サイトが https:// で正常に開けるかです。HTTPしか使えない状態だと、通信内容が暗号化されず、フォーム入力やログイン情報が危険にさらされます。
詳しい仕組みは HTTPSとは何かの解説 で補足しています。
2. SSL証明書の有効期限
SSL証明書は期限が切れるとブラウザ警告が出ます。問い合わせフォームや採用ページでも、警告が出た瞬間に信頼を大きく落とします。
- 有効期限切れが近づいていないか
- 自動更新設定が動いているか
- 証明書チェーンに問題がないか
3. ドメイン不一致や設定ミス
証明書自体が有効でも、対象ドメインがずれているとエラーになります。wwwありなし、サブドメイン追加、CDN切り替えのタイミングで起きやすいミスです。
4. HTTPからHTTPSへリダイレクトされるか
HTTPS化していても、HTTP URL がそのまま残っているケースがあります。301リダイレクトでHTTPS版へ統一できていないと、SEO上も評価が分散しやすくなります。
5. 混合コンテンツ
ページ自体はHTTPSでも、画像やスクリプトをHTTPで読み込んでいると混合コンテンツになります。ブラウザ警告や機能不全の原因になるため、SSLチェックでは見落とせません。
6. HSTSまで設定されているか
HTTPSに対応していても、HSTSがなければ最初のHTTPアクセス時にリスクが残ります。HSTSの解説記事 もあわせて確認すると、なぜ必要か理解しやすいです。
7. セキュリティヘッダーも一緒に見る
SSLチェックのついでに、HSTSだけでなく CSP や X-Frame-Options などの基本ヘッダーも見ておくと、公開設定の棚卸しとして効率的です。
「証明書は入っているが、他の防御が弱い」というサイトは珍しくありません。SSL単体ではなく、セキュリティ設定全体として見るのがおすすめです。
無料のSSLチェックで分かること
- 分かること:HTTPS対応、証明書状態、HSTS、主要ヘッダー、SPF、DMARCなど公開設定
- 分からないこと:アプリ内部の脆弱性、管理画面の認可不備、サーバー内部の設定不備
まずは公開設定を把握し、その後に必要なら脆弱性診断へ進む流れが現実的です。
SSLチェックはこんな人に向いている
- 自社サイトの証明書切れや設定漏れを見たい担当者
- 制作会社で納品前にHTTPS周りを確認したい人
- 営業前に相手サイトのセキュリティ状態をざっと把握したい人
- 「SSL証明書確認」「HTTPSチェック」をすぐ試したい人
今すぐSSLチェックをする方法
- トップページの無料診断でURLを入力する
- HTTPSと証明書、HSTS、主要ヘッダーの有無を見る
- 不足があれば関連記事から設定方法を確認する