SSL未対応の法人・個人サイトが多すぎる

デットラインの期限がいつかは、御社使用のシステムにより変わります

御社サイト一番上のアドレスバーの前に鍵マークがついていますか?

急いで下さい。最終デットラインはあと数日、今年2020年2月末までくらいです。
(このデットラインの期限がいつかはご使用のシステムにより変わります。)

御社の独自ドメインサイト、まだurlの前に「保護されていません」表示のまま放置していませんか?
(トップページだけではなく全ページに鍵マークの適用が必要です。)

SSL未保護のホームページを開いた時、urlバーに「保護されていません」と
警告が表示されるようになったのは、Chromeでは2018年夏からでした。

これに順応してこの1年半に多くのレンタルサーバーも自社プランにSSLを組込み、
大手法人から順に多くの中規模の法人や個人サイトがSSL化に取り組み終わっています。
このセキュリティ対策はchromeだけではなく、EdgeもFirefoxも同様に進んでいくと言われています。

Googleでは今年2/17よりChrome80から下のスケジュールにてすでに展開を徐々に開始中です。
クリックすると英語ですが今後のスケジュール詳細がわかります。

Googleのスケジューリング

という事は「もうSSL化しないではウェブサイトは放置できない」という意味になります。

ところが「あら?この会社まだやってないの!」友人知人の法人・個人サイトを見てて、
あまりにSSLを放置している現状に、今この現時点でもそんなSSL非対応サイトの多さに驚き、
あの会社、この会社、あの方、この方、間接的でも知らせなくちゃとこれを書いています。

SSL対応していないと何が起きるのか?

もしあなたがユーザーの立場としたら..

もしあなたがお客様として「ログイン」や「カートに入れる」機能のあるウェブサイトに登録しており、
そのサイトがSSL非対応でurlの前に「保護されていません」と表示されていたら、
ただ「保護されていません」の不本意な表示が気になるだけではすまない
このような事態がもうすぐ生じる可能性があります。

・一度ログインしたのに、すぐログアウトされてしまう。
・オンラインで「カートに入れた」はずの商品がいつのまにか消えている。
・オンラインで複数「カートに入れた」のに、一個しかはいってない。

そんなログインエラー、カートエラーが発生する保護されていないホームページから
お客様の立場でサービスや商品を購入する気になりますか?

エラーメッセージを放置してたら、サイト側は売り上げが減っていくのは当たり前の事です。

セキュリティ対応していないサービス、EC事業者としての烙印をおされ、
しかもそれがサイトを開いただけでバレてしまっているんです。かっこ悪いですよね。

どうして周りがこの事を教えてくれないのか?

「えっ?そんな重要な事を、どうしてうちの周りのIT人は教えてくれないのか?」

あなたにこの重要な情報がはいってこない理由があります

一番の理由は、社内に専任のSEやwebデザイナーがいない会社や個人の場合です。
社内にそのスキルを持った専任者がいれば、Googleが最初の告知をした2018夏から
この1年半の間にとっくに対応すみで、これを読みながら「それ、うちはもうやったよ」と、
あなたは今したり顔のはずです。

Webシステム専任がおらず「更新」だけを外部委託している場合、
委託先は契約通り「更新」の仕事だけをちゃんと行っている事でしょう。
もちろん委託先はこの事を知っています。しかし知っていても頼まれてもいない事を
わざわざ教えてはくれないと考えるのが一般的でしょう。というのも「アドバイスする」のが
契約に含まれていないからだけではなく、下のような理由が考えられるからです。

この内容の詳細は専門知識がないと理解しにくく、委託先は理解できたとしてもそれを

一般のクライアント様にわかりやすく説明するのも手間がかかるからです。

しかも「ついでにやってよ」と、この仕事を依頼されたらなお大変で、

サーバーごとに違う難解な施策を短期間に実装しなければならないからです。
そもそもこれはSEかシステム的な知識のあるwebデザイナーしかできない仕事だからです。
つまり「ついで」はとても引き受けたくない、デベロッパー案件だからです。

デベロッパー案件とは、お見積もり価格が3倍くらいですからすすめにくいという事情があります。

だから知識があるあなたの友人・知人でも、知っていても無難に黙っているのです。

こんな時、大手プラットフォームなら社員が大勢いて、しかも専任も複数名いるし、
そもそも全員経営者よりITの知識があって当然ですし、指示しなくても気づいたら終わっていて
事後報告で知るブラウザセキュリティ対策の一環という認識ですんでしまっています。

だからもうお気づきのように、御社所有のサイトの中に、大手プラットフォームにIDを持って
運用しているウェブサイトには、とっくの昔から鍵マークがついていて保護されているのです。

今さら御社では全ページ確認する必要はないですか?とっくに済んでいますか?

特に気になるのが、普及しているwordpessで稼働中の独自ドメインサイトや古いサイトです。
サイトの一番上のurlが表示されているアドレスバーにある左のアイコンが、
このような鍵マークになっているかどうかです。

トップだけではないですよ。全ページです。サイト内の1ページでも鍵マークではなく、
このようなビックリマークなど(ブラウザによって表記が違う)になっていたら、

MIX「混合」しているとの診断で、SSL非対応の影響を受けます。もっと具体的に書きます。

その「影響」とは具体的にはどんな影響なのでしょうか?

今年2020年2/17から徐々に展開開始されているChrome80により、

・そのサイト内で「ログイン」機能や「カートに入れる」機能を実装していたら緊急必須で対応が必要です。
「うちはSSLまだやってないけど、購入するボタンは、ただカートシステムのを貼り付けているだけだから大丈夫。」と、

呑気に思い込んでいたら大変です。それこそ購入ボタン、カートに入れるボタンが機能しなくなるからです。

今後、SSL未対応のサイトに貼り付けている既存のカートタグは、そこからは購入できなくなります。
その契約しているカートシステムよりメッセージが表示され、商品やサービスを
ショッピングカートに入れる事ができない状態となる
からです。

これは「新規登録」ボタン、「会員登録」ボタン、「ログイン」ボタンでも同様の事態となります。

・もしそのサイト内で、「ログイン」や「カートに入れる」機能がない時は、エラー表示はない

カートタグの押すボタンがないサイトでは、そもそも押せないのでエラーメッセージは出ません。
しかし urlバーにかっこ悪い「保護されていません」表示は残りますから、

取引先や客先が黙っていても、信用としてどうかという課題は残り続けるわけです。
(今後Chromeのバージョンが上がるにつれ、放置したサイトにどんな影響が生じるのかまったく心配です。)

よって1日も早くSSL化する事をおすすめします。

これは全てのページurlが、「http」から「https」に変更すればいいだけではなく、全ページに

挿入されている画像や動画のurlも「https」に変更されていなければなりません。
全てがhttpsに変更されているかです。

「うちはeコマースやってないから大丈夫」と呑気な会社でも、あるサイトに

「申し込む」「問い合わせる」「相談する」「質問する」などのボタンが設置されていませんか?
そのボタンを押して、ユーザーにアクションをおこさせる重要なボタンです。

そのボタンが外部スクリプトを貼り付けている場合、「カートに入れる」と同じエラーになる場合があります。

ユーザーにアクションをおこさせる

「申し込む」「問い合わせる」「相談する」「質問する」などがどういう技術で稼働しているのか
見直す必要があります。

日本では一体いつ、そのChrome80バージョンになるのですか?

Chromium Dashの英語告知によると、
「Chrome80は、人口比率により2020年2/17から徐々に展開開始されている」との事。

自分のPCのChromeのバージョンを確かめる方法

Chromeのバージョンを確認するには、Chromeを開く>右上の「Chromeの設定」>設定>
左下の「Chromeについて」をクリック>すると右にこのようなバージョンが表示されます。

上の場合は、まだバージョンが79….になっています。それで右の「再起動」をクリックすると、

しばらく待ってたら、Chromeが80に更新されました。

うちの場合ですが、3台のPCで試したところ、本日2020年2月26日に上の方法で
Chrome80に更新されました。というのも「再起動」のボタンが
右にあるのに気づいたのが今日だっただけなんですが。。

というわけで日本国内でも今日からChrome80になったので、
SSL化していないホームページに上記のような影響が表面化していくと思います。

お気をつけてくださいませ。(祈)

ECサイト、ショッピングカート、eコレクト、クロネコwebコレクト等への影響

追記2020/3月:

Google Chrome80の2020年2月末に導入されたセキュリティ対策により、
全てのECサイト、ショッピングカート、eコレクト、クロネコwebコレクト等への影響が、
2020年3月に宅急便契約者宛て数回通達がありました。このような内容です。

加盟店ECサイトにて対応が必要です

・ 購入者様での対応:決済まで進まなかった場合は、再度決済をしていただき、2分以内に認証を完了するか、ブラウザをChrome80(PC,Android含)以外で手続き下さい。

(このクロネコwebコレクトの通達は?と感じます。他のブラウザも同様に変わるからです。購入者は途中で諦めるでしょう。)

・ 加盟店様での対応:リンク方式、メール依頼方式、トークン方式、クロネコペイ、API方式では、ECサイトにおいて、クッキーに「SameSite=None;Secure」の設定をして下さい。

購入者様が古いブラウザを使っている場合は、最新バージョンにアップデートの上、再度手続きしていただけるようご案内をお願いします。

(購入者は自分が使っているブラウザが最新バージョンかどうかなんて気にしているでしょうか?これも途中で諦めるでしょう。)

・らくうるカートやEC-CUBEでは個別に案内して通り対応して下さい。

(カートは2つだけではないです。ものすごい数のカート業者があります。加盟店がほんとに困るでしょう。)

…………………………………….

つまり上記がなんの意味がわからない中小のECサイトや会社サイトが、このGoogle Chrome80の2020年2月末に導入されたセキュリティ対策の影響を受けます。

また、これに新型コロナウイルスの拍車をかける事になります。
みなさま大丈夫でしょうか?
私はここでできるだけの解説で伝えましたので。(祈)

  • このエントリーをはてなブックマークに追加
  • follow us in feedly

ピックアップ記事

  1. Macスリープ再起動エラーがおこった環境 スリープ再起動エラーメッセージの内容 スリ…
  2. 2020年もすばらしい年になるはずでした。もう半年以上が過ぎました。2020年のお正月はいつも通り、…
  3. 決済文書に押印するために出社しなければならない国電子印鑑は、Photoshopでこんなに簡単に…
  4. 最終デットラインはあと数日今年2月末までくらいです SSL対応していないと何が起きるのか…
  5. ほとんどの人が経験するよく失敗する事の一つが、Wordpressのバージョンアップです。以…
PAGE TOP