WooCommerceのSSL証明書の概要

公開: 2015-12-24

オンラインストアを開始するプロセスの一部は、買い物客のエクスペリエンスを確保する方法を見つけることです。 もちろん、潜在的な顧客に安全を感じてもらい、彼らのデータが悪意のある人の手に渡らないことを知ってもらいたいと考えています。

eコマースを初めて使用する場合は、このセキュリティプロセスの一環としてSSL証明書またはHTTPSについておしゃべりを聞いたことがあるかもしれません。 そして、あなたはそれによって完全に混乱するかもしれません。 リラックス—それは正常なことであり、私たちがお手伝いできます。

SSLは複雑なトピックのように聞こえますが、前提とストアでSSLが必要になる理由を理解すれば、心配する必要はありません。 実際、ほとんどのストア所有者は、SSLをストアに追加するための証明書をわずか数分で取得できます。

SSLとは何か、SSLが必要になる理由、およびストアの証明書を取得する方法について説明します。 この投稿の終わりに、あなたの混乱はなくなり、オンラインでの販売を開始する準備がさらに整うはずです。

SSL証明書の説明

SSL証明書とは何か、SSL証明書が必要になる理由を理解するために、まず、SSL証明書の背後にあるテクノロジーを簡単に見てみましょう。

SSLに関する簡単なレッスン

SSLは「SecureSocketsLayer」の略ですが、「Transport LayerSecurity」(またはTLS)と呼ばれることもあります。 SSL自体は、ネットワーク上の宛先間のトランザクション(必ずしも金銭的なものではありません)を保護および保護するために使用されるプロトコルです

SSLは、これらのトランザクションをプライベートにするために暗号化に依存しています。 送信される各メッセージは、成功する前に、この暗号化の整合性に関する内部チェックに合格する必要があります。 チェックが失敗した場合(データの破損、またはデータを変更またはキャプチャしようとした予期しない試みが原因で)、暗号化されたデータは公開されません。

Facebook、YouTube、オンラインストアなどの一般的なWebサイトを閲覧するときは、SSLを毎日使用しています。 使用される暗号化は、悪意のあるユーザーが検索クエリのように無実のトランザクションやクレジットカード情報のように危険なトランザクションを傍受するのを防ぎます。

SSLがWebサイト証明書にどのように適用されるか

Webサイトがトランザクションを保護する場合、そのドメインのSSL証明書を取得します。 SSL証明書は、ページとフォームの送信、金融取引などを含むすべてのWebサイトアクティビティに上記の暗号化を適用します。 これにより、データの盗難やその他の攻撃を防ぐことができます。

SSL証明書には、次のような重要なセキュリティ情報も含まれています

  • 会社名
  • 会社の場所
  • 証明書が有効な期間
  • 証明書を発行した当局の詳細

これにより、Webサイトの信頼性や信頼性について確信が持てない個人は、ブラウザの緑色の「ロック」アイコンをクリックして詳細情報を確認できます。 それでも安心できない場合は、サイトを終了できます。

SSL証明書を確認するときに表示される種類の情報の例(この場合は、GoogleのWebmaster Centralブログ)。
SSL証明書を確認するときに表示される種類の情報の例(この場合は、GoogleのWebmaster Centralブログ)。

WebサイトがSSL/TLSを使用しているかどうかを知る方法

特定のWebサイトにSSL証明書があるかどうかを確認する簡単な方法は2つあります。 探す:

  • アドレスバーの緑色の「ロック」アイコン、および
  • httpではなくhttpsで始まるURL

サイトでSSLを使用する方法によっては、以下で学習するように、これがすべてのページに適用されるとは限りません。

SSLの使用法がどのように変化しているか

かなり長い間、インターネット標準では、SSL証明書は、機密情報(財務データなど)が送受信されるドメインまたはWebサイトの特定のページにのみ推奨されていました。 ただし、その推奨事項は徐々に変化しています。

2014年8月、Googleは、検索エンジンの結果の「軽量ランキングシグナル」としてウェブサイトのセキュリティが追加されることを発表しました。 つまり、SSL / TLSで保護されたWebサイトは、他のすべての要素が同じであると仮定すると、保護されていないWebサイトよりもクエリのランクが高くなる可能性が高くなります。

発表から:

[W]サイトが検索ランキングアルゴリズムのシグナルとして安全な暗号化された接続を使用しているかどうかを考慮してテストを実行しています。 良い結果が得られたので、ランキングシグナルとしてHTTPSを使い始めています。 今のところ、それは非常に軽量なシグナルです[…]ウェブマスターにHTTPSに切り替える時間を与えています。 ただし、時間の経過とともに、すべてのWebサイトの所有者がHTTPからHTTPSに切り替えてすべての人の安全を確保することを推奨するため、これを強化することを決定する可能性があります。

過去1年間、この変更の潜在的な影響により、ストアの所有者だけでなく、多くのWebサイトの所有者が、完全なSSL証明書を使用してサイトを暗号化し、URLを「http」ではなく「https」に変更しました。

ただし、 SSLを使用してサイト全体を保護する必要はありません。 選択した場合でも、Webサイトとストアの所有者は、機密性の高いすべてのページをサブドメインに配置し、残りのページを暗号化せずに、そのドメインの証明書のみを購入できます。

オンラインストアにSSLが必要かどうかを知る方法

これをすべて読んで、SSL証明書が必要であると確信するかもしれません。 結局のところ、セキュリティはあなたにとって重要ですよね?

ただし、機密データをキャプチャまたは保存しない場合は、実際には証明書は必要ない場合があります。 これは奇妙に聞こえるかもしれませんので、掘り下げてみましょう。

ストアの所有者がSSLの必要性を免除される最も一般的なシナリオは、オフサイトの支払いプロセッサ(PayPalなど)の使用です。 これは、 PayPalが顧客の機密性の高い支払い情報をすべてキャプチャして保存する責任があるため、データベースに保存されることはないためです。

オフサイトの支払い処理業者には、独自のセキュリティ基準、証明書、およびストアとの間でデータを安全に渡す方法があります。 したがって、SSLがカバーされているため、必ずしもSSLは必要ありません。

機密性の高い支払い情報を保存しない場合は、SSLは必要ない場合があります。
機密性の高い支払い情報を保存しない場合は、SSLは必要ない場合があります。

もう1つのシナリオは、顧客があらゆる種類のパスワードを含むアカウントまたはログインを作成することを許可しない場合です。 サードパーティの完全にオフサイトの支払いゲートウェイを使用している場合でも、顧客があなたと一緒にアカウントを作成して、配送先住所と請求先住所を保存している可能性があります

これは機密情報ではありませんが、多くの顧客はすべてのアカウントに同じパスワードを使用する傾向があります。 したがって、リバースエンジニアリングを少し行うと、ハッカーが買い物客の電子メールアカウント、銀行口座などにアクセスできるようになる可能性があります。 つまり、ストアでアカウントの作成が無効になっていない限り、これらのパスワードとログインを保護するためにSSLが必要になります

要約すると、要件としてSSLを排除できる2つの要因は次のとおりです。

  • 完全にオフサイトの支払いゲートウェイの使用、および
  • 顧客が許可するアカウントまたはパスワード機能は絶対にありません

これらの要素の両方が整っていない場合は、ストアの証明書が必要になります。 そして、たとえそうだとしても、将来、HTTPSがランキングにとって、そして顧客の安心にとってより重要になる可能性があることを考えると、それを考慮する必要があります。

SSLが必要ですか? 証明書の取得方法(2つの方法)

ごく最近までSSLでストアを保護する標準的な方法は、証明書の代金を第三者に支払うことでした。 ただし、WordCampUSのTheState of the Wordで述べたように、現在は別のオプションがあります。

ここにあなたがあなたの店を確保してあなたの顧客を幸せに保つことができる2つの方法があります。

証明書の支払い

SSL証明書は、さまざまなサードパーティから購入できます。 多くのドメインリセラーはそれらを顧客に提供し(ドメイン名にバンドルされている場合もあります)、SSL証明書のみを販売する独立した会社もあります。

最善の策は、ストアのドメイン名を購入した(または購入を計画している)会社から始めて、証明書または任意の種類のバンドルを提供しているかどうかを判断することです。 そうでない場合は、単純な検索で複数の信頼できるオプションが見つかるはずです。

購入する前に、必要な証明書の種類を慎重に検討してください。 基本的なSSL証明書は、1つのドメインのみを対象としています。 example.comまたはsubdomain.example.com。 ただし、マルチドメイン証明書または「ワイルドカード」証明書を購入して、複数のサブドメイン(example1.domain.com、example2.domain.com…)をカバーすることもできます。

有料証明書の価格は通常、シングルドメインの場合は年間30ドルから50ドル、マルチドメインまたはワイルドカードオプションの場合は年間300ドルまでの範囲です。

Let'sEncryptからの無料証明書

Internet Security Research Group(ISRG)には現在、パブリックベータ版のLet'sEncryptというプログラムがあります。 Let's Encryptを使用すると、誰でもSSL / TLSを使用してサイトを無料で保護できます。これにより、Webサイトとストアの所有者に無料の永続的なSSL証明書を効果的に提供できます

キャッチ:Let's Encryptは、ドメインレジストラと協力して証明書を購入し、インストールするほど簡単ではありません。 また、まだベータ版であるため、バグが発生する可能性があります。 ただし、それでも完全に無料であり、オープンソースです。

Let's Encryptの図で、証明書がどのように機能するかを示しています。
Let's Encryptの図で、証明書がどのように機能するかを示しています。

このルートに興味がある場合は、Let's Encryptのドキュメントを開発者に送信することをお勧めします。開発者は、サーバーに必要なプラグインとクライアントを決定し、証明書のインストールプロセスを処理できます。

証明書を持っていない場合の結果

「これをすべて無視してSSL証明書を取得しないとどうなるのか」と疑問に思われるかもしれません。

正直なところ、何も起こらないかもしれません。 しかし、次のような悲惨な結果も生じる可能性があります。

  • あなたの店が安全でないように見えるために買い物客はあなたへの信頼を失います
  • あなたがあなたの商品の本当の所有者または製造者であることを証明する方法がないため、不快な個人があなたの店を「なりすまし」ます
  • リバースエンジニアリングを使用して、ストアから取得した情報を使用して顧客の電子メール、ソーシャルメディア、またはその他のオンラインアカウントを乗っ取るハッカー
  • サーバーに保存されている機密の個人データまたは財務データの盗難
  • 上記のイベントのいずれかによって引き起こされた公的および潜在的な財政的反発

ご覧のとおり、SSL証明書の代金を支払うだけで、リスクを冒すよりも安心できます。 潜在的な顧客にその欠落しているロックアイコンについてあなたを悩ませても、そしてそれが欠落しているために購入せずに終了する可能性があるとしても、年間30ドルほどの価値がありますね。

SSLは複雑な問題である必要はありません

このeコマース用のSSL証明書の紹介が、自分のオンラインストアに証明書が必要な理由(または必要ない理由)を少しよく理解するのに役立つことを願っています。

運が良ければ、SSLとストアのセキュリティはあなたが今理解するのがはるかに簡単に見えるはずです。 ただし、残りの質問がある場合は、以下のコメントで喜んでお答えします。 質問してください、私たちは常に助けにここにいます。