HTTPSはもう機能ではない。基準線です。

5年前は「SSL付きサイト」を売り文句にすることがまだできました。緑の鍵マーク。「あなたのサイトは安全です」というフレーズ。今ではプロフェッショナルなサイトに期待される最低限であり、ない状態は技術的な見落としではなく——怠慢のサインです。

HTTPSがないとブラウザは何をするか

Chrome、Safari、Firefox、Edge：いずれもHTTPページのアドレスバーに「保護されていない通信」と表示します。機微な入力のあるフォームはブロックされるか赤い警告が出ます。モバイルでは、警告が画面全体を覆い、ユーザーが何かを送信する前に立ちはだかります。

買い手の視点では、訪問者は到着し、警告を見て、去る。製品の良し悪しは関係ありません。信頼は3秒で崩れています。

HTTPSがすでに技術的に必須な場所

Service Workers（PWA、オフラインファースト）はHTTPSでしか動きません。HTTP/2もHTTP/3も同様です。位置情報、カメラ、マイク、プッシュ通知——いずれも安全な文脈に依存しています。現代のWeb APIは概してHTTPS外では動作を拒否します。

実務的に言えば、まともに現代的なアプリケーションは、起動するだけでHTTPSが必要です。

コストはいくらか

ゼロ。Let's Encryptは10年近く、自動更新付きの無料証明書を発行してきました。Cloudflareもフレキシブル SSLを無料で提供しています。2026年のまっとうなホスティングは、SSLをワンクリックでインストールできます。コストの言い訳は通りません——正直、言い訳など通りません。

今すぐ確認すべきこと

• メインドメインがHTTPからHTTPSへ自動でリダイレクトされる
• すべてのサブドメイン（www、app、admin）もHTTPSを強制する
• 証明書がすべてのブラウザで有効で、自動更新される
• HSTSが有効（Strict-Transport-Securityヘッダ）
• Mixed contentなし——HTTPSページ内でHTTP経由で読み込まれるリソース

いずれかが通らなければ、それは見た目の問題ではありません。運用の問題です。