裏側強化その2:EC事業者がおさえておきたいSSLのこと
強化したいECの裏側、第二弾は「SSLサーバ証明書(以下、証明書)」がテーマです。サイト運営者の身元の証明と、情報を暗号化しECサイトの安全性を高める、というのがよく知られた役割ですが、実は最近、それだけではなくなってきています。
導入しないと検索結果で上位に表示されない、コンテンツの表示速度が導入企業と比べて遅くなるなど、ECサイトのマーケティングやユーザービリティにも影響してくるようです。
引いてはECサイトの売上にも影響するとなると、制作会社に丸投げというわけにはいきません。そこで、証明書の発行などを行うサイバートラストの坂本勝さんに、EC事業者、経営者にもわかりやすい解説をお願いしました。
ざっくりまとめると……
- 証明書を導入しないと、表示速度やSEOに不利な影響が出そう
- 証明書にもいくつか種類があり、最も安全性が高い「EV証明書」にニーズと評価が
- 有効期限の切れた証明書には、ブラウザ側が「見せしめ」を行う場合も
- 将来的には、すべてのサイトが証明書を導入するだろう
現在、日本に存在するドメインはおよそ140万。そのうち、証明書を導入しているのは40万程度だと言う。まだ、100万のドメインが未導入なわけだが、「将来的には、すべてのサイトが導入するだろう」と坂本さん。
証明書を導入する・しないでは劇的な表示速度の違い
その理由の1つが、「HTTP/2」という新しい通信プロトコルの登場である。ちなみに、今私たちが利用しているのは「HTTP/1.1」で、「2」は次の新しいバージョンだ。
バージョンアップにより、ブラウザでのコンテンツ表示速度に劇的な変化がもたらされるとのこと。以下はサイバートラスト社が作成したデモページだが、同社のロゴ360個の表示速度を比較している。通信環境によって差があるそうだが、当日のデモでは「2」のほうが5~6倍は速かった。
「この表示速度は、証明書が導入されていないと実現できない仕様になっています。EC事業者様にとって、アクセスしてくださったお客様に負担をかけず、サイトをじっくり見ていただく、そしてコンバージョンしていただくために、コンテンツの表示速度は非常に重要な要素の1つですよね。このデモをご覧になるだけで、皆さん、証明書の導入を検討されるのではないでしょうか」(坂本さん)
証明書、導入しないと検索順位が下がりそう
もう1つ、SSLサーバ証明書が影響を与えるのは「検索順位」である。ECサイト運営者にとってSEOは永遠の課題だが、検索順位のアルゴリズムを決めているGoogleが、「HTTPS をランキング シグナルに使用します」と、2014年8月のブログで明記している。
「発表当時は、アルゴリズムの1%未満のウェイトしか占めていないようでしたが、徐々に割合を上げていくというのは、オフィシャルなコメントとして出ています」
しかしながら、単に証明書を導入すれば検索アルゴリズムに評価されるわけではない。証明書にもいくつか種類があり、安全性が異なるのだ。そして、「より安全性の高い証明書を導入しているサイトを優遇するというオフィシャルなコメントも出ています」
証明書にも種類が より安全性が高いものほどアピールもしやすい
目の前の売上を追いかけていると、セキュリティ関連はコストとして見られがちだが、EC事業者の意識も変わってきている。
「4~5年前は、多くのお客様が『暗号化さえできればいいから、とにかく安い証明書を』とおっしゃいました。しかし最近は、より安全性の高いものをお求めになります。その理由は、自社のECサイトの安全性を、もっとアピールしたいというものです」
その背景には、フィッシング詐欺の報告件数の劇的な増加がある。「報告件数」は、消費者からの報告を意味する。多くのインターネットユーザーにとって、フィッシングが身近な問題であり、脅威と感じられているわけだ。
そうした不安に対して安全性をアピールするには、数ある証明書のうち、「企業認証(OV)SSL」「EV SSL」どちらかがオススメだと坂本さんは言う。
企業認証(OV)SSLには審査が
「まず、『企業認証(OV)SSL』に関しては、導入したいとおっしゃるお客様を審査させていただき、それにパスされた企業様のみにお出しします。
安全性のランクが下がる『ドメイン認証型SSL』を提供しているところもありますが、これは審査がないので、極端に言えばフィッシングサイトであっても導入することができます」
EV SSLは見た目にもわかりやすい
「企業認証(OV)SSL」よりもさらに安全性の高い「EV SSL」は、見た目にもわかりやすい。
「アドレスバーが緑、道路標識で言うところの青信号の色になりますし、錠前マークをクリックしていただくと、サイト運営者の名前が出ます。弊社のサイトですと、このように表示されます」
証明書の有効期限が近づく、超えるとブラウザ側が「見せしめ」を
証明書導入サイトが評価されやすくなる一方で、非対応、もしくは安全性の低い証明書を導入しているサイトには、ブラウザベンダー側が「見せしめ」のような行動に出ている。
「たとえば『SHA-1(シャーワン)』と呼ばれる古いアルゴリズムを使った証明書は、有効期間が長くなるにつれ、わかりやすい警告が出されます。道路標識で言うところの『警戒』に相当するような黄色の『△』や、赤い二重線が引かれて『×』がつくといった具合です。脅すようで本当に恐縮ですが、実際にブラウザベンダーが行っている注意喚起です」
最後に坂本さんは、「サイトの表示速度」、「SEO」、「フィッシングサイト報告件数の増加」、そして「安全でないSSLへのブラウザ側からの警告」といったトピックスを振り返り、「ここまでご覧いただくと、冒頭に自信たっぷりに申し上げた、『将来的には証明書を導入したサイトしか存在しなくなる』という発言が現実になりそうだと、ご理解いただけると思います」と述べて、講演を締めくくった。