今年の3月にAppleよりリリースされた「iOS12.2」へのアップデートにより、iPhone Safari を使うと多くのサイトで「安全ではありません」と表示されるようになりました。
弊社のお客様からも、利用者から連絡を受けて確認すると、突然自社サイトにおいて「安全ではありません」という注意が表示されるようになっており、見慣れない表示に驚いて問合せをいただくケースが増えてきております。
「このままではショップの信用を失って、顧客が離れてしまう」「不安を感じて購入を控える利用者も多く、売上に影響が出ている」というご心配をお持ちな訳ですが、確かにそのとおりかと思います。
Google Chrome や今回の Safari などでは、「暗号化されていないページ」を表示した場合に警告や注意を出す方針になったことですが、今後これに追随するブラウザも増えてくることが予想されます。
Zencartを利用されるショップ様においては、すでに暗号化対応は行っているものの、管理画面のログインページやショップのログイン以降の注文手続きやマイページなど、何らかの個人情報などをサーバーに送信するページに対してのみ適用しており、トップページや商品詳細ページなどに対しては暗号化していない(Zencartのデフォルト設定)ケースが多かったと思います。
弊社が運営する ZenCartPro ヘルプサイトにおいては、常時SSL化の方針をGoogleが打ち出して以降、設定手順をお知らせしておりました( ZenCartProヘルプサイト)。
しかしながら、最初から常時SSLで運営していれば良いのですが、、これまで長く非SSLページとSSLページの両方で運営されてきたショップ様では、サイト内のいたるところで非SSLによる画像参照やリンクの記載があり、これらを全て手作業で修正するのは大変だとお感じでしょう。
また、当然ながらGoogle をはじめとする検索エンジンのインデックスや外部サイトからのリンクは http:// (非SSLのプロトコル)で、登録されており、単純に Zencart内で自動生成させるリンクをSSL対応させるだけでは収まらないことがほとんどです。
こうしたショップ様への弊社からの提案は・・・・
- 常時SSL化対応は行うべき
- 時間があればサイト内に記載されている非SSLによる参照は修正したほうがよい。
・・・訳ですが、とても手間と時間が掛かる作業になりそうなので、プログラム側にある程度の処理を任せてしまい・・・
- ZenCart が生成するすべてのサイト内リンクをSSL化する。(ZenCartの configure ファイルへの設定変更)
- サイト内外からの、非SSLでリクエストを 受けた場合も、ドメイン以下のファイルへのアクセスは、強制的に https:// での表示に切り替える。
これにより Zencart で作ったもの以外のHTMLファイルのページに対しても、暗号化が行えます。 - 商品説明文などの中に、http:// で画像参照しているものについては、 指定ドメイン内の参照であれば、強制的に https:// 参照に置き換える。
(※暗号化されたページ内で、非暗号化での画像等ファイル参照により、警告が出る事を回避する必要があります。本来は手動で相対パスに書き換えるなどの作業をすべきところですが、漏れがあると、該当ページで警告が出るため、念のための強制変換も平行して行っておくことをおすすめします)
・・・上記作業については、3万円程度の費用をいただいて作業代行を承っておりますので、お困りのショップ様はご相談ください。
そもそもの話として・・・
「常時SSL」とは
Webサイトの一部のみをHTTPS化するのではなく、Webサイト全体をHTTPS化することで、常時SSL(https_everywhere)と呼ばれています。
従来は、ログインページやクレジットカード決済ページなど、Webサイト上でパスワードや個人情報等を入力するページだけをHTTPS(暗号化)によって通信を保護することが一般的でした。
しかし近年、インターネットにおけるセキュリティ意識の高まりや、Google が主導する形で「常時SSL」を推進するようになり、Chrome や iPhone の Safari などの主要なブラウザーが非SSLでの通信に警告を出すようになったことから、Webサイト全体をSSL(HTTPS)化することが求められています。
常時SSLのメリットは
Webサイトを常時SSL化することにより、なりすましや盗聴の防止などWebサイトのセキュリティ向上などの効果が見込めます。
SSL(HTTPS)化されたWebサイトではブラウザーのアドレスバーに鍵(南京錠)マークを表示されるため、Webサイト訪問者に見た目で安心感を与えることができるというメリットもあります。
※逆に正しい証明書が入っていなかったり、非SSLコンテンツが混じることで発生するセキュリティ警告はむしろ大きなマイナスになりますので注意が必要です。
かつては、Webページをhttpsにする(通信をいちいち暗号化する)ことは、Webサーバー、ブラウザー両方に負荷がかかり、表示が遅くなることもありましたが、通信が効率化され HTTP/2が登場したことにより、HTTPS化、常時SSL化はWebサイトの表示を高速化させる要素となりました。
常時SSL化の広がりと検索エンジン
常時SSL化は、Webサイト訪問者に安心してWebサイトを見てもらうために重要なことであり、昨今のWebサイト運用において非常に重要となっています。
SSL(HTTPS)化の動きが広がった背景には、GoogleがWebサイトのHTTPS化を推奨していることが挙げられます。2014年8月に Googleはウェブマスター向け公式ブログの中で、HTTPSをランキングシグナルに使用することを明言しました。つまり、HTTPS化されたサイトはSEOで有利になり、検索結果の表示順位にも影響すると明言したわけです。
また、2018年7月リリースの「Chrome 68」から、すべてのHTTPサイトで「保護されていません」を表示するようになり、2019年3月より iPhone の Safari では「安全ではありません」と表示されるようになりました。
Googleが常時SSLを全面支持し優遇する方針や、Yahoo!JAPANといった検索ポータルサイト、TwitterやFacebook、InstagramといったSNSも、ユーザー保護の観点から常時SSL化されています。
常時SSL化は、インターネット全体のトレンドになっているといえます。