古いバージョンのEC-CUBEは別途「常時SSL化」の対応が必要

今となっては当たり前の「常時SSL化」ですが、これほど浸透したのはそれほど昔のことではありません。

EC-CUBE4.xは管理画面で設定ができるようになっておりSSL証明書が提供されているサーバーならば簡単に常時SSL化することができますが、EC-CUBE2.11～2.13がリリースされた頃は「SSL化」も今ほどは重要視されておらず、実際、古いバージョンのEC-CUBEは一部のページ以外は「http」がデフォルトの状態になっているため、別途「常時SSL化」の対応が必要です。そのため、EC-CUBE2.11～2.13をお使いのショップオーナー様は、「常時SSL化」されることを強くおすすめします。

それでは、常時SSL化対応を実施しない場合、どのようなデメリットがあるのでしょうか。

ECサイトはセキュリティが重要

お客様の個人情報やクレジットカード情報などを扱うことから、ECサイトはセキュリティが重視されます。セキュリティは後述のようにユーザー目線でも重要視されますが、ショップオーナーこそ重要視しなくてはなりません。

また、EC-CUBE2.11～2.13.xは、重大な脆弱性も多数見つかっています。
以前こちらの記事でご紹介させていただきましたが、古いEC-CUBEをお使いの場合は、「常時SSL化」と公式からリリースされている脆弱性の修正を行うことが最低限必要で、できれば最新のEC-CUBE4.x、または、ec-cube.coやShopify（ショッピファイ）のような、クラウド型のカートへの乗り換えも視野に入れていただくことをおすすめしています。

お客様に警戒されてしまうことによる機会損失の可能性

Google ChromeやFirefox、Safariなどの主要なブラウザでは、SSL化されていないページのフォームを送信しようとすると、「安全ではない」「情報を抜き取られる恐れがある」という警告を表示するようになりました。

ECサイトでのお買い物には、お届け先や決済情報などを入力して送信しなくてはなりませんが、このような警告が表示されると、お客様は慎重になり、お買い物を取りやめることもありえます。

過去に日本ベリサイン（現 株式会社シマンテック）が行った「インターネットセキュリティに関する意識調査」では、「SSL（暗号化）サーバー証明書は必要だと思いますか？」という質問に対して、実に80%以上のユーザーが「必須である」と回答していることからも、ユーザーがどれだけ重視しているか、また、SSL化しないことによる機会損失の可能性が分かりやすいのではないでしょうか。

SEO面で不利になる

Googleは常時SSL化済みかどうかを検索順位の判断基準の一つに挙げていたことがあります。
SSL化がそこまで浸透していなかった頃は常時SSL化する＝検索順位で優位に立つ材料になりましたが、常時SSL化が当たり前になった今では、常時SSL化していないことは相対的にマイナス評価に繋がります。

長年使い込んだECサイトは常時SSL化対応も少し大変

ここまで「常時SSL化が必要な理由」についてご説明しましたが、では、古いEC-CUBEの常時SSL化は簡単にできるのでしょうか？

古いバージョンのEC-CUBEの常時SSL化については、「config.php」ファイルの編集と、管理画面からの設定が基本的な対応となりますので、新規に設置・運営開始したEC-CUBEに対応するのであれば、ある程度知識は必要ですがそこまで難しいことはありません。

しかし、長年常時SSL化対応せずに運営してきたサイトの場合、基本的な対応だけでは「httpとhttpsが混在する」状態になるケースが非常に多く、1ページずつ確認して修正しなくてはならないため、少し大変な作業です。

また、常時SSL化によって「http」が「https」となったことで検索エンジンにURLが変わったとみなされて検索順位が下がる可能性もありますので、そうならないように対策もしなくてはなりません。