暗号化の重要性
ネットショップを運営していく上で、SSL(暗号化)は利用者の信頼を得るために欠かせない要素だ。
カートで入力するカード情報や住所などの個人情報が平文(暗号化されていない普通の文)でネット上を流れたら、誰に悪用されるかわからない。
ということで暗号化(SSL)について考えてみた。
ショッピングカートのどこが暗号化されているか
カートがSSLで暗号化されているのは、もはや当たり前。ところが、カートのすべての画面が暗号化されているというわけでもない。
「カートに入れる」の後の画面は暗号化なし、住所やカード番号を入力する画面から暗号化されている というパターンもあるようだ。
暗号化されているかどうかを見分ける方法
暗号化されているかどうかは URLの先頭を見ればわかる。
http:// で始まっていたら、暗号化されていない。つまり、入力したままのデータが、そのままネット上を流れていく。
https:// なら暗号化されている。http の後に s があることにご注意。
暗号化だけで安心か
暗号化されていれば、それだけでOK というわけではない。暗号に使う鍵が偽造されていれば、せっかく暗号化しても安心はできない。
そこに登場するのが鍵が本人のものであることを証明してくれる認証局だ。(このあたりは詳しく説明するときりがないのでさらっと流しています)
認証局から、このサイトの暗号化の鍵は間違いありません というお墨付きを得ているサイトは信頼できる ということになっている。お墨付きは認証局が発行する証明書で確認できる。
下の画像の右中央にあるGeoTrust などの画像がそれだ。
これがあれば、私のサイトはちゃんと認証局から証明をもらっている信頼できるサイトですよ とアピールできる。
お墨付きを得るには
証明を得るには、上記GeoTrustのクイックSSLで年間\36,540。
MovableTypeの商用ライセンスと同じくらいの出費となる。ただSSLは毎年更新しなければならない。
証明書がなくてもお墨付きを表示できる方法
自前のサーバにカートのCGIをインストールすると、当然カートは自分のサーバで動作することになり、証明書は自前で取得しなければならなくなるが、ASPタイプのカート、他のサーバにあるカートサービスを利用すれば、サービスを提供しているサーバが取得した証明書が表示できる。
下の画面右下にサービス提供サーバの証明書があるのがわかるだろうか(クリックすると拡大します)。
CGIを入手してインストール型のカートを自分のサーバにインストールして設定するか、ASP型のカートを利用して認証もASP側のものを表示するか あなたならドッチにします?
