HTTPS プロトコルと SSL 証明書を使用してオンラインストアを保護する方法

17分読み取り

顧客があなたのストアで何かを購入すると、名前、メールアドレス、クレジットカード情報などの個人データがあなたと共有されます。販売者としては、この脆弱なデータをハッカー、詐欺師、データ窃盗犯から保護する必要があります。これは、顧客との信頼関係を築くために非常に重要です。

HTTPS プロトコルと SSL 証明書を使用すると、顧客データを保護し、ビジネスの信頼性を高めることができます。また、そうすべきです。これらのツールは、セキュリティを強化して信頼性を高めるだけでなく、検索エンジンでのストアのランクを上げることにも役立ちます。

もし、あんたがオンラインで販売する Ecwid では、顧客データがすでに保護されていることを知って喜ぶでしょう。しかし、SSL 証明書を使用すると、さらにいくつかの利点が得られます。

この記事では、HTTPS プロトコルと SSL 証明書の仕組みと、それらを Web サイトで取得する方法について説明します。

SSL証明書とHTTPSプロトコルを理解する

インターネットでは、すべてのデータは特定のルールに従ってデバイスからデバイスに転送されます。 プロトコル.

ウェブサイトの場合、このプロトコルは ハイパーテキスト転送プロトコル (HTTP). 顧客がウェブサイトに入力したデータをウェブサイトをホストするサーバーに転送し、ブラウザに応答を送信します。たとえば、ユーザーがボタンを押すと新しいページが開き、電子メール登録フォームに入力すると登録が成功したことの確認が表示されます。

HTTP の問題は、ブラウザからサーバーに転送されるデータが保護されないことです。HTTP を通過するデータは基本的に「裸」です。

わかりやすい例え話として、教室内で 2 人の生徒がメモを渡し合っているところを思い浮かべてください。クラスメイトなら誰でもそのメモを読んだり、コピーしたり、さらには置き換えたりすることができます。顧客データでも同じです。悪者がクレジットカードの詳細やお金を盗む可能性があります。

そのため、データを保護するための新しいプロトコル、HTTPSが作成されました。 （ハイパーテキスト転送プロトコル セキュアー)HTTPSでは、ユーザーとウェブサーバー間のすべてのデータ転送が暗号化されます。この暗号化は非常に複雑なため、ほぼデータをハッキングして使用することは不可能です。

HTTPS プロトコルを使用するには、まずサイトに SSL (Secure Socket Layer) 証明書が必要です。

SSL 証明書は、基本的にデータを暗号化するための鍵です。次の 3 つのレベルでデータを保護します。

データ暗号化。 ハッカーは、ユーザーがサイトに入力した情報を確認したり、ページ上でのユーザーの行動を追跡したりすることはできません。暗号で書かれたメモのようなものだと考えてください。鍵を知っている人だけが読むことができます。
データの整合性。 ハッカーは送信されたデータを置き換えたり、歪曲したりすることはできません。さらに、鍵を知らないと、暗号化されたメモの場合と同様に、データを書き込んだり、編集したり、操作したりすることは不可能です。
鑑定 SSL は、ユーザーがハッカーのページではなく信頼できるサイトにアクセスしていることを保証します。2 人の参加者だけがキーを知っている場合、その 2 人はメモを誰から受け取ったかを確実に知ることができます。見知らぬ人が自分のメモを渡して不正行為で情報を入手することはできません。

サイトが SSL 証明書で保護されているかどうかは、URL アドレスの HTTPS プロトコルで確認できます。ほとんどのブラウザでは、ロックアイコンの形で視覚的に示されます。

HTTPS ロックアイコン

SSL 証明書は、特別な組織である認証センターによって配布されます。

SSL を使用すべき人 (およびその理由)

ユーザーがクレジットカード情報などの機密情報を入力するサイトでは SSL が必要です。 E-コマース顧客を失いたくない店舗では、すでにしばらく前から HTTPS プロトコルを使用しています。

しかし、多くの場合、オンラインストアは SSLを使用した登録およびチェックアウトページ、 なぜなら、顧客が個人データを共有するのは、これらの場所だけだからです。Web サイトの残りの部分は、多くの場合、安全でない HTTP で動作します。

今日、 HTTPS はすべての Web ページに必須です。 それにはいくつか理由があります。

ブラウザは保護されていないサイトにフラグを立てる

世界で最も普及しているブラウザの 2 つである Chrome と Firefox は、SSL を使用していないサイトを視覚的にマークします。

今のところ、灰色の情報アイコンのみが表示されます。しかし、将来的にはブラウザ変更を計画する HTTP ページのセキュリティインジケーターを赤い三角形に変更します。顧客はこれを「警告」インジケーターとして見慣れています。

その結果、SSL を使用しないと、人々はあなたの Web サイトから購入することを恐れるようになる可能性があります。

SSLを使用するとランキングが上がる

2014年に、 Googleが発表した SSL をランキングシグナルとして使用することを検討すると発表しました。つまり、SSL を使用するサイトは検索エンジンのトラフィックが増加するということです。

決済サービスの要件

決済サービスの多くは、HTTPSを利用条件としています。例えば、アップルを支払います作品の HTTPS を使用します。

信頼を高める

支払いのセキュリティに関する懸念は、ショッピングカートの放棄の上位 10 の理由の XNUMX つです。ストアに SSL 証明書を追加すると、支払いデータが安全であることを視覚的にユーザーに伝えることができます。

HTTPS ウェブサイトへの安全なサイン

当然ながら、信頼が高まれば売上も増加します。

顧客が検索エンジンで簡単にストアを見つけ、信頼してもらえるようにしたいのであれば、HTTPS への切り替えを先延ばしにしないでください。

SSL証明書を取得してHTTPSに切り替える方法

HTTPS に切り替えるには、まず SSL 証明書を購入して Web サイトにインストールする必要があります。このプロセスは、サイトの種類に応じて、一部のストアでは簡単な場合もあれば、より複雑な場合もあります。

1. Ecwid Instant Siteを使用している

Ecwidに登録した人は誰でも、内蔵オンラインストア。このサイトはすべてのユーザーに完全に無料です。

これはご存知のとおり Ecwid インスタントサイト.

このサイトをご利用の場合は、 デフォルトではすでに SSL 証明書が存在します。 Ecwid Instant Site 上のオンラインストアは、安全なデータ転送に関する国際標準に準拠しています。

今すぐお試しください。インスタントサイトにアクセスし、ブラウザのアドレスバーをよく見てください。URL の横に「安全」というメッセージと緑色のロックアイコンが表示されます。オンラインストアは安全ですのでご安心ください。

安全なサイン

インスタントサイトをカスタムドメインにリンクしますか（リダイレクトされるように） mysite.com そしてそうではない ecwid.com より)?

このアクションにより無料のSSL証明書が取得されます 同様に、次の手順に従ってください。

Ecwidストアにログイン次に、「設定」→「インスタントサイト」に移動して、「アドレスの変更」ボタンをクリックします。
「ドメインを使用する」フィールドをクリックし、表示される指示に従います。画面上で。

インスタントサイト設定

2. 自分のウェブサイトにEcwidを追加しました

Ecwidストアを開設するには どれか サイトを作成し、顧客データのセキュリティに配慮します。たとえば、WordPress ブログ、Adobe Muse Web サイト、独自の静的 HTML ページなどがこれに該当します。

このルートを選択した場合、顧客データの安全性について心配する必要はありません。データは当社の高度に保護されたサーバーを介して転送されるため、すべてのデータはEcwid自体で保管および処理されます。 SSLで保護されていますサーバ.

SSL 証明書のない独自の Web サイトに Ecwid を追加した場合、チェックアウト時以外は安全な「ロック」アイコンがどこにも表示されず、顧客はイライラする可能性があります。

さまざまな Web サイトビルダーで SSL 証明書を購入して使用する方法はいくつかあります。

Wix： WixではSSL証明書を無料でご利用いただけます。まず設定でこの証明書を有効にし、指示に従って.

Weebly： のことができますを自動的に追加します n WeeblyサイトにSSL証明書を追加する.

Joomla、WordPress、Drupal: ドメインレジストラまたはホスティングプロバイダーから SSL 証明書を購入し、手順に従って Web サイトにインストールする必要があります (おそらく開発者が必要になります)。

自作ウェブサイト： ホスティングプロバイダー/ドメインから SSL 証明書を購入し、自分でまたは IT 担当者の助けを借りてインストールします。

さまざまな種類の SSL 証明書とその購入場所について詳しくは、以下の手順に従ってください。

SSL証明書の種類

基本的に、証明書には 3 つの種類があり、発行のスピードや販売者の検査の範囲が異なります。

1. ドメイン検証 (DV) 付き証明書

最も簡単なオプションです。DV SSL 証明書を購入すると、登録したメールアドレスでドメインの所有権を確認するためのリンクが提供されます。

DV はほぼ即時に発行されます。また、最も安価なオプションでもあり、無料で提供している販売者もいます。

2. 組織認証付き証明書 (OV)

OV SSL証明書を取得するには、法人またはLLCの存在を証明する必要があります。証明書発行必要な書類を当局に提出する。

OV SSL証明書は 1-3 取得には日数がかかります。この証明書は必ず料金を支払う必要があります。

3. 拡張認証付き証明書 (EV)

EV 証明書は、ウェブサイトのアドレスの近くの緑色の背景に会社名が表示されているので、すぐにわかります。金融ウェブサイトで見たことがあるかもしれません。

PayPal SSL証明書

EV SSLを発行する前に、認証機関は徹底的なチェックを実施します。 3〜10日、そしてさらに、EV証明書を取得します。

この証明書は銀行や決済システムに最適です。

DV、OV、EV - 関係なくどのようなSSL証明書を選択するかにかかわらず、それらはすべてあなたのデータを保護します同じようにこのため、セキュリティを心配することなく、最も安価なオプション (ドメイン検証付きの基本 SSL) を使用できます。SSL 証明書は定期的に更新する必要があります。証明書が来年更新されない場合、保護が失われるだけでなく、ほとんどのユーザーに対してサイトが開かなくなる可能性があります。

SSL 証明書の費用は年間約 50 ドルです。プロバイダーによってはもっと高価な証明書を販売しているところもありますが、あまりお金を使いすぎないようにする必要があります。50 ドルの SSL を購入しても、150 ドルの SSL を購入しても、提供される基本的なデータセキュリティは同じです。

一部のプロバイダーは無料の SSL 証明書を提供していますが、それらはまったくメリットのない、大幅に「薄められた」バージョンです。最初に目にしたものを購入すべきではありません。

SSL 証明書は「トラストセンター」によって発行されます。よく知られているトラストセンターには次のようなものがあります。

コモド
シマンテック
Digicert
ジオトラスト

これらのセンターが発行する証明書は、ドメイン登録業者、ホスティング Web サイト、SSL 再販業者から購入できます。また、無料の証明書もあります。

以下では、オプションをよりよく理解できるように説明します。

1. ドメインレジストラまたはホスティングサービスからSSL証明書を購入する

ほとんどのドメインレジストラとホスティングサービスでは、SSL 証明書も販売しています。場合によっては、レジストラがギフトまたは購入として無料の証明書を発行することもあります。

ドメインレジストラまたはホスティングサービスから購入すると、HTTP から HTTPS への切り替えが簡単になるので便利です。

ここにいくつかの人気のあるオプションがあります：

GoDaddyは – ウェブサイト57つあたり年間XNUMXドル
お申し込み – 無料から年間49,9ドル
Namecheap – 年間9ドルから
イーノム – $ 12,95 /年
Sitegroundは – ホスティングを購入すると無料のSSLが利用可能

ドメイン登録機関または Web ホストが SSL 証明書も提供している場合は、多少高価であっても、そこから購入することをお勧めします。これにより、証明書をインストールして HTTPS に切り替えるときに何時間も節約できます。

2. 無料のSSL証明書を取得する

ウェブホスト/レジストラが SSL 証明書を販売していない場合、または予算が限られている場合は、無料の証明書を選択できます。無料の証明書は、ドメイン検証 (DV) の 1 種類のみです。これでデータを保護するには十分です。

以下のサービスをお勧めします。

CloudFlare

CloudFlare 最大 15 年間のサブスクリプションで無料の SSL 証明書を提供します。データ保護以外にも、DDoS 攻撃からの基本的な保護や Web サイトの自動高速化などのメリットがあります。

欠点もあります:

これは新しいブラウザでのみ機能します。顧客が古いブラウザ（Internet Explorer 11、Firefox 2、Opera 8、Google Chrome v5.0.342.0、Safari 2.1、Mobile Safari for iOS 4.0、Android 3.0（Honeycomb）、Windows Phone 7 より古いもの）を使用している場合、Web サイトに「https」は表示されません。
1 つの一般的な証明書は、複数のサイトを同時に保護します。ただし、個々の Web サイトと同様に Web サイトを保護します。
Cloudflare は独自のサーバーデータを使用するように要求し、Web サイトのトラフィックは Cloudflare サーバーを経由することになるため、読み込み速度が低下する可能性があります (必ずしもそうとは限りません)。

これらの欠点は重大なものではなく、一般的に、Cloudflare は SSL 証明書にお金をかけるつもりはないが、顧客データの保護を開始したい人にとって最適です。HTTP のままにするか、Cloudflare から SSL 証明書を取得するかを選択する場合は、2 番目のオプションを選択することをお勧めします。

CloudflareからSSL証明書を取得するには、アカウント登録そして、フォロー指示.

暗号化しよう

これは Cloudflare の欠点のない無料サービスですが、独自の制限があります。

暗号化しよう証明書は3か月間のみ提供されるため、自動更新を設定する必要があります。これには、Webサイトのサーバー設定へのアクセスが必要です（ VPS Amazon AWS、Linode、Digital Ocean などのホスティング) を使用する場合は、システム管理者が必要になる可能性があります。

Let's Encrypt から SSL 証明書を取得するには、次の 2 つのオプションがあります。

手動でオン Letsencrypt.org ビア「手動モード」セクション
半自動または自動的に（オンラインストアのサーバーソフトウェアによって異なります） Certbot.

3. 再販業者からSSL証明書を購入する

Let's Encrypt 証明書の調整に時間を費やしたくない、また Cloudflare を使いたくない場合は、次のいずれかの再販業者から SSL 証明書を購入できます。

好きな再販業者を選択してください。どの再販業者も Web サイトを問題なく保護してくれるので、最も高価なオプションを購入する意味はあまりないことを覚えておいてください。

HTTPS に切り替えてもトラフィックを失わない方法

HTTPからHTTPSに切り替えると、検索ロボットのサイトアドレスが変更されます（ → https://yoursite.com). This can negatively affect your rankings in search engines.

読む Googleのおすすめランキングを維持し、さらに向上させるために、これらのガイドラインは役立ちます。SSL 証明書を独自にインストールする場合は、顧客を失うことを避けるために、これらのガイドラインを読むことを強くお勧めします。また、サイトビルダーのサポートチームに、HTTP → HTTPS 移行でこれらの条件が満たされているかどうかを問い合わせることもできます。

***

私たちの推奨事項をまとめてみましょう:

Ecwid Instant Site を使用する場合は問題ありません。Web サイト全体が HTTPS 上にあります。
Wix および Weebly の Web サイトの場合は、設定で SSL 証明書を有効にします。
独自の Web サイトで販売する場合は、ドメイン/ホスティングプロバイダーに SSL 証明書があるかどうかを確認してください。ない場合は、SSL 証明書をリクエストしてください。
ドメイン/ホスティングプロバイダーが SSL 証明書を販売していない場合は、Cloudflare で無料の証明書を入手するか、再販業者から購入してください。