ここ最近のお話、Google神が本気を出してきました。
甘く見ていましたが、わたしも速攻で対応しました。今回の対応は検索流入を狙ったサイトほど顕著にダメージ受けますね。
SSLってなんぞ…?誤解している人が多い話
SSLは一言で言えば『暗号化』です。
これがわかっているようでわかっていないんですよね。おそらくSSLに対する多くの人の理解が下記です。
- webサイトの暗号化
- 暗号化されているので安全なサイト
まず最初に、SSLはサイトの暗号化ではありません。通信の暗号化であってwebサイト本体は一切暗号化かかってません。
じゃあSSLに対応することで何が守られるの?っていうと、データが改ざんされなくなるということです。ここで言うデータというのは、webページを指します。
webページが改ざんされないとどんなメリットがあるのかというと、フィッシング詐欺にかかる確率がいくらか減るってことです。
フィッシング詐欺の中には、本物ページと全く同じ表示だけどクレジットカード番号の送信先URLだけが別、みたいなパターンがあります。
大ダメージですよね。Google様はあなたに悲しい思いをしてほしくなかったのです。
サーバからあなたのPCへ、webページをダウンロードする過程で中間者が入ってwebページを改ざんし、クレジットカード番号送信先URLのみ改ざんされたというわけです。
インターネットは鉄道みたいな作りになっていて、目的地に到達するまでにいろんな駅(ルータ)を経由します。そのどこかの駅で悪党がいてwebページを改ざんし、クレジットカード番号の送信先を書き換えているというわけです。
SSL通信をしていると改ざんを検知することができるようになるため、こういったフィッシング詐欺をある程度防止できる、というメリットがあります。SSLは極論すると『改ざん検知』です。
ここ最近のハッキング手法というのはもっぱらこの中間者攻撃…
…です。Google神はもっとも脅威となる攻撃が中間者攻撃だと判断し、ユーザーが安心・安全して利用できるようSSL化してないサイトを危険と判定するようにしたのでしょう。
SSLの脆弱性
そしてもう一つの誤解です。SSL化しているサイトは安全という誤解。
SSL化されたサイト = 安全サイトではなく、海外のネットショップでも、
というわけではありません。詐欺サイトでもSSL化している可能性もありますし、SSLにも脆弱(ぜいじゃく:弱くて脆い)性があります。
ここでもやっぱり中間者攻撃が使われるのですが…
というハッキング手法が使われます。
SSLとは、サーバとあなたのPCで認証を行います。
この認証のやり取りを『ジャック』し、あなたになりすましてサーバにアクセス、クレジットカードの番号などの情報を抜き取ったりする手法もあります。
一般webサイトはSSL化いらないんじゃ…?
SSL化作業は大変です。クレジットカード番号とか入力しないようなwebサイトなら別にSSL化しなくたっていいじゃない、ということ。
どれだけやっても脆弱性は残るし必要のないサイトは見逃してほしかったですね。
でもわたしのような弱小の末端ネットビジネスプレイヤーは神様には逆らえませんからね。
SSL化は内部リンクも全部修正しなければならないし、1つでも漏れていると危険サイトとしてみなされます。
所有ブログの1つの収益が半減…。涙が出るほど辛いです…。今裏側でいろいろ修正してます。
たしかに、一度ドメインごと引っ越しをしたサイトがあったのですが、内部リンクが治ってなかったなぁと…。
会社の給料が手取り20万円でもたいして痛みはないけど、ネット収入が数万円減ったりするとめちゃくちゃ心が痛くなりますね。不思議です。
SSL化のやり方をざっくり説明
SSL化の手順は使用しているレンタルサーバによって違うので細かいことは書きません。ざっくりとした手順は下記です。
- サーバ側にSSL利用申請する。
- WordPressの設定にて、自サイトのURLをhttp://からhttps://に変更する。
- .htaccessにhttp://からhttps://に301リダイレクトさせる。
- プラグイン『Search Regex』でhttp://をhttps://に置換する。
これはもうそこらへんのwebサイトにこれでもか!ってぐらい情報が転がってるのでそっち見てもらったほうがいいでしょう。
とりあえず、ざっくりとしたワークフローを抑えておくことが大切です。
怖いインターネットで身を護るためには…
わたしは現役のSEです。難関と言われる国家資格も所有しています。そんなわたしですが、インターネットはホントに怖いと思ってます。
はっきり言ってフィッシングサイトはスキルが高い低いとか関係なく、人間には物理的に見抜くことができません。お手上げです。
webサイトの表示は同じ、URLも同じ。これでどうやって本物か偽物か見分ければいいの?無理です。
もうウィルスソフトに頼るしかありませんよ。ウィルスソフトも100%の精度ではありませんが。
特に、海外のネットショップでクレジットカード番号を入力する機会が多い輸入ビジネスプレイヤーは必ずウィルスソフトは導入しましょう。経費削減だとかいってあまり安いウィルスソフトはしないように。
信頼と実績から言うと、
- ウィルスバスター
- カスペルスキー
- ノートンアンチウィルス
このあたりが妥当でしょう。
たまに、
みたいな人を見かけますが、こういうタイプが一番危険ですね。そもそも危険意識を持っていないというか、低すぎます。インターネットはウィルスにひっかかること前提で使うべきです。理想はプライベート用と外部アクセス用で分ける、とか。
まとめ
- SSL化はやろう
- しないとアクセス数が半減する
- インターネッツは怖い。かならずウィルスソフト入れておこう
さてここで…。もしSSL化をしていないのにアクセス数減ってないよー、なんて人がいましたら…。それは検索流入がよほど少ないということでしょう。
webサイトのアクセスはすべからく検索流入にすべきです。なぜなら、人は検索エンジンにダイレクトに自分の悩みを突っ込んでくるからです。
お客さんが悩みを解決させたいと積極的なアプローチを仕掛けてきています。そういうお客さんを捕まえられるような網・webページを作っておけば、自身の商品・サービスを購入してもらえる可能性は高いです。
直接取り引き・独占販売とかしている人は特にwebマーケティングスキルは必要でしょうね。