WEB問い合わせフォームの暗号化

WEB問い合わせフォームの暗号化について調べているのですが、
問い合わせフォームだけSSLにしても、確認メールなどもなんとかしないと意味がないという記事をネットで見かけました。

一般的に、問い合わせフォームの暗号化などをちゃんとしているところは、問い合わせフォームの入力～確認メールを、どのような形で作られているのでしょうか。

よろしくお願いします。

No.2 ベストアンサー 回答者： t_ohta 回答日時： 2014/07/23 09:23

確認メール等にクレジットカード番号などの保護が必要な情報を記入しないという方法もあります。

管理者側へもメールで問い合わせ内容を送らずSSLで暗号化されたWebで見るようにし、お客様とのやりとりもSSLで暗号化されたWeb上だけで完結させれば基本的に問題がありません。

Webと社内システムを連携させたりする場合は、Webサーバがあるネットワークと社内ネットワークをVPNでつないで暗号化通信を行うという事もあります。

No.3 回答者： kadusaya2 回答日時： 2014/07/25 00:45

まず、本当に“問い合わせ”に暗号化が必要かどうかを検討された方が良いのでは？

問い合わせの内容は、あなたの会社の製品やサービスに関する問い合わせですか。
それなら、製品やサービスの内容を暗号化する必要が無いと思います。

現実問題として、確認メールを暗号化することは不可能です。
暗号化や解読には鍵と言うものが必須です。共通鍵方式であれ、公開鍵方式であれ、同じことです。
お問い合わせフォームでその鍵をやり取りし、利用者にその鍵をインストールさせるわけにはいきません。

知ったかぶりをして やたらと暗号化を叫ぶエセ記事に、振り回されていませんか？
確認メールを暗号化している企業などありません。

お問い合わせに関しては、
・メールアドレスは暗号化できない。
（暗号化したらメールが届きません）
・お問い合わせの内容は暗号化する必要があるのか否か。
（その後もメールのやりとりが繰り返されます）
・個人情報などの暗号化が必要なものを入力する必要があるか。
（お問い合わせの段階では見込み客でしかない）
などを考慮してみてください。

No.1 回答者： nnori7142 回答日時： 2014/07/23 09:05

　質問内容の件ですが、アクセスユーザーからお問い合わせフォームまでの通信がSSL暗号化（ケースにより、べリサイン暗号化）されている点は、周知されておりますが、そのお問い合わせフォームから到着お問い合わせデータベース・サーバへの履歴処理とテキスト管理サーバへメール内容が保存される形となります。

　そのテキスト管理サーバへの保存ですが、運営者や管理者に届くメールは平文である点が基本になっておりますが、そのデータを暗号化させるという事は、メールクライアントソフト及び利用メールアドレス・サービスが、送受信双方で暗号化に対応している必要があります。
　一般的には、契約プロバイダ及びメールアドレス規格によりますが、プロバイダ側のPOP/SMTPサーバのサービス提供として、暗号化CA認証局とサーバ秘密鍵及びCSR認証、暗号化認証証明書でのメール通信暗号化サービスを提供させる必要が有ります。
　例えば、POP before SMTPでのメールセキュリティ、SMTP AUTH認証、SMTP送信時のSSL暗号化設定を推奨しているプロバイダも有ります。（Au OneNetメールなど）
　ただし、お問い合わせフォーム投稿での運営者・管理者間のメール通信はテキスト形式が主体で、SSLベリサイン暗号化されているかどうかは、そのサーバ構築をしている会社形態によります。
　投稿者のメール投稿、お問い合わせフォーム、運営者・管理者間のメールテキスト確認、それぞれのメールクライアント機能が全てにおいて暗号化通信に対応しておりませんと、意味が無いものと考え下さい。