古いホームページでよくあるトラブルで「安全ではありません」「保護されてない通信」と警告が出る事があります。
会社のホームページなのに「安全ではない」となってしまうと信頼を損ねる原因となりかねません。
原因と、対処法などをご説明致します。
暗号化されてない通信で警告が出る
現在GoogleやAppleと言ったインターネットの基礎を支える大企業の理念として「安全で保護された通信」をユーザーに提供する。といった考え方があります。
安全性の低いサイトは、各社のブラウザで強制的に表示されるようになりました。
- Safari「安全ではありません」
- Google chrome「保護されてない通信」
これによって、企業のサイトでも危険なサイトに見えてしまいます。
警告の対処方法
警告の対処方法として「SSL導入」が必要です。
これは、安全な通信を確保することにほかなりません。
SSLは大きく分けて3種類です。
種類 | 価格 |
---|---|
ドメイン認証 | 無料~ |
企業実在認証 | 1万円前後~ |
EV認証 | 15万前後~ |
基本的にクレジットカード決済などの、個人情報や決済情報がないサイトではドメイン認証で問題はほとんどありません。
WEBサイトに決済が含まれる場合は、企業認証を行いセキュリティレベルを上げる必要があります。
顧客の信頼を得る手段ともなりますので、通販などを含めたサイトを保有している企業は企業実在認証を行いましょう。
SSL導入にはサイト管理者の作業が必要
ホームページのSSL認証の際には、サイト管理へ依頼が必要です。
社内でHPを作成した場合は、社内の管理者に依頼しましょう。
WordPressなどのサイトにログインして編集できるものではなく、サーバーとドメインの作業する必要があります。
社内に専門知識を持っている人がいない場合は、弊社にご相談ください。
SSLとは?なぜ必要なのか
SSLは一般的に、ウェブサイトを開いた際の通信で暗号化を行いなりすまし、データ改ざん、データの盗聴、ハッキングを始めとする犯罪行為の防止を行うシステムです。
インターネット上でSSLを取得する際に「企業情報などの登録」も必要なので、証明書としての役割もあります。
SSLが無いと個人情報流出などの一大事に
SSLが実装されていないサイトの場合、第三者(ハッカーなどの犯罪者)が安易に個人情報やカード情報を抜き出す事が出来るようになってしまいます。
暗号化を行わないのは、事前に防げる対策であるため、裁判などになった場合不利に働いてしまう可能性もあります。
実際に個人情報流出が発生した場合、1件あたり3億円近くの損失は覚悟する必要があります。
2015年 漏えい人数 496万0063人 インシデント件数 799件 想定損害賠償総額 2,541億3,663万円 1件当たり平均漏えい人数 6,578人 1件当たり平均想定損害賠償額 3億3,705万円 1人当たり平均想定損害賠償額 2万8,020円
引用:Fujitsu
SSL導入の作業で防げる被害も少なくありませんので、リスクを減らすためにも迅速な導入が必要ですね。
日本の96%のサイトがSSL化
執筆時現在、Googleに送信されたトラフィックのうち96%がSSL化されており、日本の企業や個人のHPのうちのほぼ全てが暗号化されている状態です。
逆に言えば現在SSL化されていないホームページは、何らかの理由があるか、かなりITに弱い会社を意味します。
SSL化されていないホームページを運用している会社の場合、ブラウザから安全性を疑われるだけではなく、それだけで信頼を失う可能性すら現在はあるでしょう。
また、最新の情報を仕入れることができないということは、会社レベルで間違った選択をする・詐欺などの被害に合いやすくなる、といったことも考えられます。
たった1つの要素でこれだけ影響がある物は多くありませんので、早めに対応するに越したことはないですね。
社内でSSL導入をする場合の大まかな手順
ここでは、エラーが出ない場合の一般的な手順をご紹介します。
- SSLの選択・契約
- バックアップ作成
- .htaccess、HTML編集
- サイト個別作業
- 動作確認・リダイレクト処理
SSLの選択・契約
上記で述べたとおり、どのグレードのSSLを取得するかを選択します。
ドメイン認証の場合は、サーバー会社やドメイン発行元などで取得できます。
企業実在認証やEV認証の場合は、書面による申請や、登記事項証明書や実印の印鑑証明などの公的証明書が必要です。
審査など、SSLが承認されるまでにある程度の時間を要します。
バックアップの作成
ホームページのコードなど、サーバーにアップされている内容は一度すべてバックアップをとりましょう。
.htaccessを編集するため、想定し得ない自体が発生しかねません。
また、バックアップは別の機会にも役に立つ可能性が極めて高いため、普段取得していない場合はこの機会にバックアップを行うことをおすすめします。
.htaccess、HTML編集
htaccessを編集することにより、常時SSL化を行います。
なんらかの事情があって常時SSL化を行わない場合は、この作業から拡張して作業が必要ですので、今回は差し控えます。
.htaccessには以下の記述を行います。
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
HTMLの編集は、各ページのimgタグやリンクタグのhttps://をhttps://に変更する、もしくはプロトコルを省略した形に変更します。
サイト個別作業
WordPressを使ったサイトの場合は、設定の一般からWordPressアドレス(URL)やサイトアドレス(URL)などを変更する必要があります。
また、Googleの提供するSEOツール「Search Console」などの設定も修正が必要です。
サイトに設定してあるツールや、各それぞれの作業は何が必要かを確認して作業しましょう。
動作確認・リダイレクト処理
作業を行ったあと、小規模のサイトであれば、すべてのページが機能しているかをチェックを行い、SSLの確認を行う必要があります。
問い合わせページや購買ページなど、特に顧客が気にする点は重点的にチェックを行うことをおすすめします。
また、動作環境によって個別のエラーが出る場合もありますので、Google chrome、Safari、Edgeなど複数のブラウザで動作を確認する必要があります。
このとき、http環境から移管できなかったページをリダイレクト処理を行って、すべてのページがSSL対応出来るように心がけましょう。
正常にSSL認証が行われた場合、下記のようなURLバーに変わります。
- Safari
- Google chrome