SSLでの暗号化は必須でしょうか？

ネットショップをひらく計画をしています。
ショッピングカートを導入して注文を受けるしくみを作っています。
（つまり自前で製作）
大手などのネットショップは個人情報を入力時、ほとんどがSSLによるデータの暗号化を行うページとなっております。
しかし当方のネットショップは、決済方法にクレジットカード払いはないので、注文者が入力するのは住所や名前、電話番号などになります。
それでも、SSLでの暗号化というものは信頼や安心度という点から、導入するにこしたことはないかと思うのですが、購入者側の心理もやはり同じようなものでしょうか？
（別に住所や電話番号が重要度の低い情報だと言ってるわけではありませんが）

また、万全を期すためクレジット決済のない場合でもページを暗号化するべきとなると、今度はメールで注文を受けるということもセキュリティの面からできなくなるかと思います（しかしショッピングカートが使用できないブラウザを使用してる人もいるので、メールでの注文を受けることも必要なのです）

質問内容は、
１．クレジット決済がなくてもSSLでの暗号化ページは必要か？
２．SSLを使用してページを作っているのに、メールで受注可能とするのはおかしいですか？

No.6 ベストアンサー 回答者： PU2 回答日時： 2007/02/19 20:13

フォームでのSSLはメール送信された時点で実際には殆ど意味無いのですが

単なる意味は無いが気分的な安心料だと思いますよ
SSLを使っていても自動返信でメール送信していれば暗号化なんか殆ど意味ありませんし
お客様に住所確認する場合もメールしますから意味ありませんよね
これ楽天でもヤフーでも同じですよね。注文すれば自動的に住所のあるメール来ますしね
ただ、SSLさえあればメールも安心だと勘違いしている人の方が多そうです。
楽天など大手モール出店していれば安心と思うような根拠の無い安心感と同じです。
SSLの意味はわかっていないが神経質な方からの注文を考えるなら必要でしょうね
ただ、証明書も他社のレンタルカートを使っていればたとえSSLしていても
証明書の発行先はそのレンタルカート業者になりますから本当は怪しいと
いえば怪しく感じてしまいますよね
(貴方ではなくてレンタルカート業者の情報漏えいの可能性の方が最近は高そうですしね)
お客様がどの程度貴方のページを不安に思うかによって変わってくると思います。
ちなみに、あっても無くても大きくは変わらなかったというのが経験ですけど、
SSLは決して売り上げのアップにはあまりつながりません。判断は貴方次第だと思います。

この回答へのお礼

根拠の無い安心感というのはそのとおりです。
検討してみます。ありがとうございます。

お礼日時：2007/02/20 12:39

No.5 回答者： gaikan 回答日時： 2007/02/19 08:26

ネットビジネスをしているものですが、

単純にSSLにしたほうが成約率が上がる場合が多いです。
しない理由がありません＾＾；

No.4 回答者： galluda 回答日時： 2007/02/18 14:21

がると申します。

ECサイトとかを「作る」側の人間なのですが。
今まで拝見している限りではほぼ「must」だろうなぁと、やはり感じます。住所＆氏名であれば十分に個人情報ですし。

あと、#1さんの内容に補足…というか修正を。
きちんとしたSSL認証局の場合(具体的には、たとえばベリサインの法人向け)、これは「その法人が存在すること」をきちんと証明してくれます。
具体的には
>> 引用開始
3.1.8.1 組織向け証明書の利用者の同一性の確認
3.1.8.1.1 リテール組織向け証明書の確認
日本ベリサインは、リテール組織向け証明書の証明書申請者の同一性を次の方法により確認する。
・当該組織が存在することを、最低一種類の第三者による証明サービスもしくはデータベースの利用により、あるいはこの代わりに、当該組織の存在を確認する関係政府機関の発行する文書もしくはこれに登録された文書により、検証し、かつ
・申請者に対して当該組織に関する情報、当該組織が証明書申請を認めたこと、及び当該組織を代表して申請を行う権限があることを電話、郵便、またはこれらに相当する方法で確認する。
<< 引用終了
というかなり厳密な手順がありますので。

ただ、たとえば同じベリサインでも、個人の場合
>> 引用開始
3.1.9.1 クラス1 個人向け証明書
クラス1 証明書の個人認証は、日本ベリサインのクラス1 認証機関サブドメイン内で、サブジェクト識別名が唯一かつ明確なサブジェクト名であることを確実にするための調査により行われる。クラス1 証明書の認証は、実在性の保証を提供するものではない（すなわち、そうであると主張する者が利用者であることの保証はしない）。利用者のコモン・ネームは、確認を実施しない利用者情報である。クラス1 証明書の認証は、証明書申請者の電子メールアドレスの限定的な確認を含む。
<< 引用終了
と、かなりゆるい判断基準だったりするので。

class 2(法人向け)までしっかり取得されると、それはそれで一つの「売り文句にできる」ものが確保できるかもしれません。

あと、
> ２．SSLを使用してページを作っているのに、メールで受注可能とするのはおかしいですか？
ですが、特に奇妙だとは思わないです。

以上何かの参考にでもなれば幸いです。

この回答へのお礼

使用しているレンタルサーバーの制約の問題で高い証明書しか手に入らなそうなので、レンタルをしようと思います。ありがとうございます

お礼日時：2007/02/20 12:40

No.3 回答者： speedygon 回答日時： 2007/02/18 14:07

こちらに質問されていらしゃる方達は、どちらかと言うとネットに精通している方だと思います。

パソコンに不慣れな方にとっては、ネットショッピングは不安だという声が多いのが実情です、最低限SSLは不可欠だと思います。

No.2 回答者： tanukineiri 回答日時： 2007/02/18 11:38

当方ネットショップを運営しております。

SSLは、ほぼ、絶対条件にちかいと思います。
昨今、個人情報の保護が注目をあつめており、SSLなしのHPにお客さんが発注した結果、住所や氏名が漏洩した場合は、もちろんお客さんの自己責任が第一義なのですが、やはり運営側の責任もとりざたされる恐れは十分にあります。また、信用の面からもほぼ、避けてとおることはできないと思います。
もちろん、SSLがあっても漏れるときはもれますが。
それでも、考えられる限りの防衛を施しているというスタンスが大事なのではないかと思います。
カードの使用の場合はより神経質ですが、住所氏名だけの情報でも結局は同じことだとおもいます。

No.1 回答者： mtfoggy 回答日時： 2007/02/18 03:18

SSLは暗号化だけと思っているのでしょうか？

SSLには、あなたのサイトが信用できるかできないかを判断する、
デジタル署名という重要な仕組みがあります。

第三者(認証局)の信用が無いサイトで買い物をする気にはなれませんね。


http://e-words.jp/w/SSL.html
http://e-words.jp/w/E38387E382B8E382BFE383ABE8A8 …