WordPressWebサイトに適切なHTTPS証明書を選択する
公開: 2019-09-27前回の投稿で、WordPress HTTPS、SSL、TLS – Webサイト管理者向けのガイドで、HTTPSと他のすべての技術用語とは何か、そしてそれがどのように機能するかを説明しました。 この記事では、HTTPS証明書、WordPress Webサイト用に証明書を取得するさまざまな方法、およびHTTPS証明書を支払う必要がある理由と支払うべきでない理由について説明します。 すぐに飛び込みましょう。
HTTPS証明書とは何ですか?
HTTPS証明書の方法と理由について説明する前に、まず証明書とは何かについて説明する必要があります。 証明書は次の目的で使用されます。
- WebサーバーとWebブラウザ間のトラフィックを暗号化し、
- 接続しているWebサーバーが実際に本人であるかどうかを確認します(識別手段)。
HTTPS証明書(TLS証明書)には、ブラウザーによって信頼されているエンティティがそのWebサイトのIDを保証できるという暗号化された証明が含まれています。 このエンティティは、認証局(CA)と呼ばれます。 HTTPS証明書に関しては、CAが重要な役割を果たします。
認証局は、自分の身元を独自に確認し、他の人に自分の身元を証明するための「パスポート」(証明書)を提供する「パスポートオフィス」に似ていると考えることができます。 ただし、誰か(Webブラウザ)があなたの「パスポート」を検証するには、「パスポート」(証明書)を発行した「パスポートオフィス」(認証局)を信頼する必要があります。 パスポートと同様に、証明書にはなりすましを困難にするセキュリティ機能が組み込まれています。
つまり、HTTPSを介してWebサイトにサービスを提供するには、WordPress WebサイトのID(あなたが本人である)を証明する証明書を提供する認証局が必要です。
さまざまな種類のHTTPS証明書
すぐにはわからない場合もありますが、取得できる証明書には3つの異なるタイプがあります。
- ドメイン検証(DV)
- 組織検証(OV)
- 拡張検証(EV)。
DV証明書は、これまでで最も一般的な証明書です。 DV証明書を取得すると、期待する通常のブラウザユーザーインターフェイスが表示されます。 これはブラウザごとに異なり、ブラウザのバージョンごとにも異なりますが、通常は南京錠が表示され、「安全」という言葉が表示されることもあります。
OV証明書は、より多くの検証が必要なため、DV証明書よりも取得が困難です。 ただし、使用されることはめったにありません。 それらはエンドユーザーにはまったく同じように見え、DV証明書に勝る具体的なメリットはなく、コストも高くなります。
これによりEV証明書が残ります— Extended Validation証明書は、組織が取得するために徹底的な検証プロセスを必要とすることになっています。 それらはかなり高価であり、歴史的にはUIの点でブラウザによってわずかに異なって扱われてきました。
ただし、Chrome、Firefox、Safariの最近のバージョンでは、このインジケーターは目立たないセクションに移動されました。 これは主に、EV証明書がエンドユーザーに意味のあるレベルの信頼を伝えるという証拠がないという事実によるものです。 場合によっては、EVは実際にエンドユーザーにより多くの混乱を引き起こす可能性があります。 そのため、インターネットで最も人気のあるWebサイトの大部分は、EV証明書からDV証明書に移行しています。
WordPress Webサイトにはどのような種類の証明書が必要ですか?
つまり、WordPress Webサイトのドメイン検証(DV)証明書が必要です。 Extended Validation(EV)証明書が必要になる本当の理由はありません。特に、ブラウザーが証明書を所有することの利点をほとんど排除しているためです(さらに、それらもかなり高価です)。
HTTPS証明書の取得
従来、HTTPS証明書を取得するということは、認証局(CA)に年会費を支払うことを意味していました。 このプロセスは手動で行われ、管理者にとってはかなり面倒でした。
幸いなことに、Mozillaは2012年に、 Let'sEncryptとして知られるようになったものの作業を開始しました。 Internet Security Research Group(ISRG)が運営する非営利の認証局。 すべての人に無料でHTTPS証明書を提供します。 数か月でインターネット上で最大のCAになったのは当然のことです。
Let's Encryptは、単に無料のCAであることに加えて、ACMEプロトコルを使用した最初のCAであったため、革新的でした。 ACMEプロトコルにより、証明書の自動更新が可能になります。 これにより、Let's Encryptは、より安全な、より短い有効期間(90日)の証明書を作成できます。 また、Certbotなどのツールのおかげで、システム管理者は証明書の更新について心配する必要がありません。
HTTPS証明書の制限を暗号化しましょう
Let'sEncryptをWordPressWebサイトで機能させる方法については、オンラインで何千もの記事がありますが、証明書を使用できない場合があることを理解することが重要です。 これは、Webホスティングプランの一部としてHTTPS証明書の料金を支払っている場合、またはWebサーバーを完全に制御できない場合に特に当てはまります。
この場合、証明書にお金を使う前に、ホスティングプロバイダーのカスタマーサポートでLet'sEncrypt証明書を使用できるかどうかを確認してください。 現在、WordPressホスティングサービスの大部分はLet'sEncrypt証明書をサポートしています。
Let's Encrypt証明書をホスティングプランで使用できない場合は、商用のHTTPS証明書が必要か、オンラインのWordPressファイアウォール/ CDNサービスを使用できる可能性があります。 それらのほとんどは、サービスの一部として無料のHTTPS証明書を提供しています。
HTTPSでWordPressを設定する
HTTPS証明書を取得してWebサーバーでHTTPSを有効にするだけでなく、WordPressサイトもHTTPS用に設定されていることを確認する必要があります。 プラグインを使用せずにこれを行うことはできますが、ほとんどのWordPress管理者は、Really SimpleSSLなどの一般的なプラグインを使用する方がおそらく簡単です。 このようなプラグインを使用すると、すべてのリンクがWebサイトのHTTPSバージョンを正しく指していることを確認できます。
検索エンジンはHTTPとHTTPSのWebサイトを異なるサイトとして扱うことに注意することも重要です。 したがって、すでに行っていない限り、HTTPSサイトもGoogle検索コンソールに送信する必要があります。
無料のHTTPS証明書は本当に良いですか?
多くのWordPressWebサイトの所有者は、Let'sEncryptの無料のHTTPS証明書の使用にまだ懐疑的です。 セキュリティを真剣に受け止めていないイメージを描くことを心配する人もいるので、顧客を失うことを恐れます。 他の何人かは、無料のHTTPS証明書は有料の証明書ほど良くないと考えています。 私は彼らを非難しません–良い製品/サービスは本当に無料で利用できません。 ただし、これは別のケースです。
Let's Encryptはユーザーとして無料ですが、無料のプロジェクトではありません。 Google、Facebook、Microsoft、Ciscoなどのスポンサーのおかげで、無料のHTTPS証明書を発行できます。 したがって、これらすべての大企業がWordPressWebサイトのHTTPS証明書にお金を払っているとしましょう。
Let's Encryptは、本格的な認証局です。 Let's Encryptの無料のTLS証明書と有料のTLS証明書の間には、特に暗号化機能の点で違いはありません。 そうは言っても、コストを正当化できれば、HTTPS証明書の支払いに害はありません。
HTTPSは私のサイトを「安全」にしますか?
残念ながら、100%安全なものはなく、HTTPSもこのルールの例外ではありません。 HTTPSは、WordPressWebサイトセキュリティプログラムのほんの一部です。 それは可能にします:
- ユーザーは、同じネットワーク上の詮索好きな目によって通信が傍受されることなく、Webサイトに安全に接続できます。
- ウェブサイトのセキュリティである絶え間ない挑戦の一部を助けます。
ただし、これは特効薬ではありません。間違いなくHTTPSを実装して適用する必要がありますが、WordPressWebサイトの保護が完了したことを意味するわけではありません。
WordPress Webサイトの安全を確保するために他に何ができますか?
WordPressWebサイトのセキュリティを向上させるためにできることはたくさんあります。 以下から始めることをお勧めします。
- WordPressファイアウォールを使用し、
- 強力なWordPressパスワードポリシーを適用し、
- ファイル整合性監視プラグインをインストールし、
- WordPressで発生したすべての変更のログを保持します。
- WordPressコア、使用するすべてのプラグイン、テーマ、ソフトウェアを最新の状態に保ちます。