SSL でドメインを保護する

WordPress.com では、WordPress.com でホストされているすべてのドメインとサブドメインに無料の SSL 証明書が自動的に提供されます。このガイドでは、サイトが保護されているかどうかを確認し、一般的な SSL の問題を修正する方法について説明します。

サイトに SSL が設定されているかどうかを確認する最も簡単な方法は、サイトにアクセスすることです。

1. ウェブブラウザーでサイトに移動します。
2. アドレスバーを確認し、URL の横にロックアイコンを探します。
3. ロックアイコンがある場合、サイトは保護されていて SSL が設定されています。

ロックアイコンがない場合や「保護されていない通信」と表示される場合は、WordPress.com ダッシュボードから SSL のステータスを確認し、どのようなエラーを解決する必要があるかをチェックします。

WordPress.com サイトにドメインを登録または接続している場合は、次の手順で SSL のステータスを確認できます。

1. サイトのダッシュボードにアクセスします。
2. 「アップグレード」→「ドメイン」(または WP 管理画面を使用している場合は「ホスティング」→「ドメイン」) の順に移動します。
3. ドメイン名をクリックします。
4. 「ドメインセキュリティ」セクションをクリックして展開します。
5. サイトの SSL 証明書のステータスが表示されます。
   • SSL 証明書が有効: SSL 証明書が有効で、サイトは保護されています。
   • SSL 証明書が保留中: SSL 証明書はまだプロビジョニングされていません。

「ドメインセキュリティ」セクションに「SSL 証明書が保留中」と表示される場合は、WordPress.com で SSL 証明書がまだ設定中であることを意味します。

さらに、サイトにアクセスする際に NET::ERR_CERT_COMMON_NAME_INVALID や「このサイトへの接続は安全ではありません」などのエラーが表示される場合があります。

また、「ドメインセキュリティ」セクションに修正が必要な特定のエラーメッセージ (以下を参照) が表示されることもあります。

CAA DNS レコードエラー: このドメインの CAA DNS レコードでは、 Let's Encrypt による証明書の発行が許可されていません。CAA DNS レコードを更新または削除してください。

ネームサーバーの混在によるエラー: このドメインには WordPress.com と外部のネームサーバーが混在しています。NS レコードを更新してください。

DNSSEC 検証エラー: このドメインには DNSSEC 検証エラーがあります。登録業者で DS レコードのデータを削除または更新する必要がある場合があります。

以下の手順を実行してこれらのエラーを解決し、SSL 証明書を手動でプロビジョニングしてください。

ドメインが別の登録業者から接続されている場合は、ドメイン接続が完了していて WordPress.com の SSL 証明書を受け取れることを確認します。当社のネームサーバーに接続されているドメインの場合は、DNSSEC が無効であることも確認してください。

WordPress.com で登録されたドメイン、または WordPress.com に移管されたドメインの場合は、次の手順を実行して DNS が正しく構成されていることを確認します。

1. サイトのダッシュボードから「アップグレード」→「ドメイン」 (または WP 管理画面を使用している場合は「ホスティング」→「ドメイン」) の順に移動します。
2. ドメイン名をクリックします。
3. 「ネームサーバー」セクションをクリックし、「WordPress.com のネームサーバーを使用」のオプションが「オン」の位置にあることを確認します。
4. 「DNS レコード」セクションをクリックし、「管理」ボタンをクリックします。
5. 次の方法で、ドメインの A レコードと CNAME レコードが WordPress.com のデフォルト値に設定されていることを確認します。
   1. 画面の右上にある省略記号 (3つのドット) をクリックします。
   2. 「デフォルトの A レコードを復元」および / または「デフォルトの CNAME レコードを復元」をクリックします。

これらの手順を完了すると、数時間以内に WordPress.com サイトがドメインに表示され、その直後に SSL が適用されます。SSL 証明書を手動でプロビジョニングすることもできます。

サイトの SSL プロビジョニングを妨げている問題を解決したら、次の手順を実行してサイトの SSL 証明書を手動でプロビジョニングします。

1. サイトのダッシュボードにアクセスします。
2. 「アップグレード」→「ドメイン」(または WP 管理画面を使用している場合は「ホスティング」→「ドメイン」) の順に移動します。
3. ドメインをクリックします。
4. 「ドメインセキュリティ」セクションまで下にスクロールし、見出しをクリックしてセクションを展開します。
   • このセクションがない場合は、ドメイン名が正しく設定されていることを確認してください。
5. 「証明書をプロビジョニング」ボタンをクリックします。

この操作でドメインの SSL 証明書が要求されます。ドメインへの SSL 適用を妨げている根本的な問題が未解決の場合、SSL のプロビジョニングは失敗します。

ドメインを更新すると、ドメインの SSL 証明書は自動的に更新されます。SSL を個別に更新する必要はありません。ドメインが WordPress.com サイトに接続されている限り、SSL 証明書は有効なままです。

WordPress.com は強力な暗号化を特に重視しているため、SSL は無効にできません。また、安全性を確保できない HTTP 要求はすべて、セキュリティの確保された HTTPS バージョンにリダイレクトされる仕組みを整えています。

SSL 証明書はサイトと訪問者のブラウザー間の接続を暗号化するものです。そうすることで秘密情報が保護され、サイトの信頼性を示すことができます。最新のブラウザーでは、セキュリティで保護されたサイトにはロックアイコンが表示されます。また、保護されていないサイトでは警告が表示されることがあります。

すべての WordPress.com サイトには無料の SSL 証明書が自動的に付与されます。購入や設定は一切必要ありません。

WordPress.com の SSL 証明書は認証局である Let’s Encrypt から発行されています。WordPress.com 上のすべての証明書は同じコモンネームである「tls.automattic.com」を使用し、SubjectAltName 属性に一意のドメイン名 (約50個ずつグループ分けして) 保管しています。すべての最新ブラウザーはこの属性を尊重しているため、サイトの訪問者にセキュリティ警告が表示されることはありません。

TLS は SSL のアップグレードバージョンですが、SSL と TLS という用語は同じ意味で使用されることがよくあります。WordPress.com は TLS バージョン TLSv1.2と TLSv1.3をサポートしています。

また、WordPress.com はすべての HTTPS 応答に Strict-Transport-Security (HSTS) ヘッダーを付加して送信し、サイトが安全性の低い http ではなく https 経由でアクセスされるようにします。