2020年2月に公開されたGoogle Chrome80(ブラウザ)や3月公開予定のChrome81では、対策を要する大型仕様変更があります。Webサイト表示の不具合やネットショップの売り上げ減とならぬよう、まだ「http」でサイトを公開されている方は早急に対応すべきです!
具体的な変更点は、以下の通りです。
閲覧しているWebサイトからスマホやPCの中に保存される情報となります。サイトを訪れた日時や、訪問回数など、さまざまな内容が記録されています。ネットショップ上では、Cookieを使用して購入手続き画面に入れた商品の情報や注文情報など沢山の情報を保持していますので、e-shopsカートSの購入手続き画面でもサードパーティCookieをガッツリ使用しています。
Chrome 80(2020年2月公開)以降、サードパーティCookieを取り扱う際には、SameSite=None属性およびSecure属性をWebシステム側で個別に付与する必要があるとGoogleが発表しました。ネットショップサイトで特に指定がない場合、Chrome80以降ではSameSite属性の既定値として「Lax」が取り扱われる、とのことです。既定値をNoneからLaxに上げることで、Cookieの取り扱いを厳しくする、というのがGoogleの目的なのでしょう。
SameSite属性とは、CSRF(クロスサイトリクエストフォージェリ)という攻撃からユーザを守るために、Cookieに付与される属性となります。CSRFの攻撃としては第三者がCookieを悪用して、ユーザの意図しない処理・不正アクセスなどを行い、会員情報を勝手に変更したり等のなりすましを行う、といったものがあります。そのため、CSRF対策を確実に行っておく必要があるとGoogleは考えたようです。
SameSite属性は、以下の三段階の中から指定できるようになっていますが、e-shopsカートSの購入手続き画面は「cart.ec-sites.jp」のドメイン配下で展開しており、method属性がpostとなっています。そのため、SameSite=None属性を指定しています。
SameSite=Strict
→ 最も制限が厳しい。サードパーティCookieを遮断。自サイト発行のCookieのみ許可する。
SameSite=Lax
→ ドメインが異なる複数サイト間の遷移時にCookie遮断されることがある。一部の条件でのみサードパーティCookieを許可する。
SameSite=None
→ 制限なし。ドメインが異なる複数サイト間でCookieを利用しても、これまで通りサードパーティCookieをすべて許可。
Googleは上記仕様に加えて「サードパーティCookieに'SameSite=None'属性をつける場合は同時に'Secure'(暗号化通信)属性も付与しなければならない」という制限も追加しました。このことから『https(暗号化通信)サイトでなければサードパーティCookieは動作しなくなる』と捉えることができます。
e-shopsカートSをご利用頂く上で既にWebサイトの常時SSL(https)化をしているショップ様は安心です。特に行っていただく対応はございませんが、問題は「http」のままネットショップを公開されているオーナ様です。Cookieが動作しないということは、ショッピングカート内の購入者様の情報、商品情報が保持できない、ということになります。どんな悪影響があるのでしょうか?
カートに商品を入れてもすぐに購入しないと商品が消えてしまうので、複数購入できない!
会員ログインしてもすぐログアウトしてしまうので、入力の手間が生じる!注文しづらい!
などといったようなことを購入者様に感じさせてしまうようになるのです!
e-shopsカートSでは、上記の弊害が発生しないように、2020/02/18にシステム改修を行いましたが、Googleがまたいつ仕様変更し、判定を厳しくするかはわかりません。「http」でWebサイトを公開している場合には「上記弊害がいつ発生してもおかしくない」と考え、早めにhttpsサイトへ切り替えた方が得策です。
以上のことから、Webサイトを「http://abc.com」のように非SSLのURLで公開しているショップオーナー様は早急にhttps化することをお勧めします!!
Chrome 80以降、「https」から始まるURLページから「http」の動画や音声を読み込む場合、読み込むURLを自動的に「http」→「https」に変換しています。この挙動に伴い、コンテンツの移動などが必要になる場合があります。対応しないと、コンテンツの読み込みに失敗しブロックされます。
混合コンテンツの画像は引き続き表示されるようですが、ブラウザのアドレスバーに「保護されていない通信」と警告表示されます。
2020年2月~3月にかけて公開予定のChrome81からは、混合コンテンツの画像も自動的にURLを「https」に変換して接続し、読み込めない場合はブロックする、とのことです。
外部参考サイト:Chrome81のリリースと混合コンテンツについて(英語)
e-shopsカートSでは、WordPressやホームページ編集ソフト、ツールなどを使用し、独自に自作サイトを構築して運用されているショップ様が多いので、ショップ様ご自身で混合コンテンツの見直し・修正を行っていただく必要が充分にあります。e-shopsカートSのページ自動生成(CMS)でネットショップを公開されている方も、各コンテンツのご指定はショップ様ご自身で行っていただいておりますので、確認をしておくと確実です。
要するに、「https」から始まるURLの画像やCSS、JS等の読み込みに統一しておくことで「http」混合コンテンツにおける制限強化に伴う弊害は避けることができる、というわけです。ネットショップの常時SSL化の際にご対応いただいている方が大半かと思います。
外部参考サイト:混合コンテンツとは?
外部参考サイト:混合コンテンツの防止
2020年2月~3月にかけてまた更に公開予定のChrome81からは、TLS 1.0/1.1がChromeのサポート外となるようです。サーバで対応している暗号化方式を確認してみましょう。古い暗号化方式のTLS 1.0/1.1などとなっている場合には1.2以降に対応したレンタルサーバを使用すべきです。
なぜなら、対応を行わない場合、Chromeでサイト接続した時に警告画面が表示され、Webサイトへのアクセスが遮断されてしまうからです。
e-shopsカートSのご提供サービスはショッピングカートもレンタルサーバもTLS 1.2に対応していますので、安心してご利用いただけます。既にe-shopsカートSをご利用中の方は、TLS1.0/1.1のサポート停止による必要な作業は何もありません。
Webブラウザシェア情報からもGoogle Chromeは世界で57%以上のシェア率となっています。そのため、「http」でネットショップを公開・運営していくには本格的に不向きな時代に突入し、「https」でのサイト公開が当たり前になってきました。
GoogleはこれからもChromeをアップデートし続け、「https」化に向けた制限はより強化されていくものと考えられています。しかし、その理由はすべて「購入者様(ユーザ)が利用しやすい安全な環境を提供すること」が根底にあります。
e-shopsカートSでも、数年前から常時SSL化を推進してきましたので、以下の記事をご参考にとにかく最優先事項としてネットショップの常時SSL化をお考え下さると幸いです。
ご購入者様のために、早急に「https」対応しましょう!!!
常時SSLに関するサポートで不明な点がございましたら、下記お問合せ窓口へ!サポートスタッフが全力でサポートいたします!
電話番号:0570-666-370
受付時間:平日10時~12時、13時~17時(土日祝日は除く)
E-MAIL:cart2@e-shops.jp
お問合せフォーム