使用 SSL 保護你的網域

WordPress.com 會自動為託管於 WordPress.com 的所有網域和子網域提供免費 SSL 憑證。本指引會說明如何檢查網站是否安全，以及如何修正常見的 SSL 問題。

檢查網站是否有 SSL 的最快方法，就是造訪網站：

1. 使用網頁瀏覽器前往你的網站。
2. 查看網址列，確認 URL 旁是否有鎖定圖示。
3. 如果看到鎖定圖示，代表你的網站安全且具有 SSL。

如果沒有鎖定圖示或顯示「不安全」，請透過 WordPress.com 儀表板檢查 SSL 狀態，了解需要解決的特定錯誤。

如果擁有已註冊或連結至 WordPress.com 網站的網域，可以按照下列步驟檢查 SSL 狀態：

1. 前往網站的儀表板。
2. 前往「升級」→「網域」(如果使用 WP 管理員，則前往「主機服務」→「網域」)。
3. 按一下你的網域名稱。
4. 按一下即可展開「網域安全」區段。
5. 你會看到網站 SSL 憑證的狀態：
   • SSL 憑證已啟用：SSL 憑證已啟用，且你的網站為安全狀態。
   • SSL 憑證待確認：尚未佈建 SSL 憑證。

如果在「網域安全」區段中看到「SSL 憑證待確認」的訊息，則代表 WordPress.com 仍在設定 SSL 憑證。

此外，造訪網站時可能看到的錯誤範例包括「NET::ERR_CERT_COMMON_NAME_INVALID」，或「此網站的連線不安全」。

你也可能在「網域安全」區段中看到需要修正的特定錯誤訊息：

CAA DNS 記錄錯誤：此網域的 CAA DNS 記錄不允許 Let's Encrypt 核發憑證。請更新或移除 CAA DNS 記錄。

混合名稱伺服器錯誤：此網域同時包含 WordPress.com 和外部名稱伺服器。請更新 NS 記錄。

DNSSEC 驗證錯誤：此網域有 DNSSEC 驗證錯誤。請前往註冊機構移除或更新 DS 記錄資料。

請依照下列指示解決這些錯誤，然後手動佈建 SSL 憑證。

如果網域透過其他註冊機構連結，請確定你已完成網域連結，可接收 WordPress.com SSL 憑證。若網域與我們的名稱伺服器連結，請一併確認 DNSSEC 是否已停用。

若網域是在 WordPress.com 上註冊，或是轉移到 WordPress.com，請依照下列步驟檢查你的 DNS 是否設定正確：

1. 從網站儀表板前往「升級」→「網域」(若使用 WP 管理員，則為「主機服務」→「網域」)。
2. 按一下你的網域名稱。
3. 按一下「名稱伺服器」區段，確認「使用 WordPress.com 名稱伺服器」選項處於「開啟」位置。
4. 按一下「DNS 記錄」區段，然後按一下「管理」按鈕。
5. 請透過以下方式，確定網域的 A 和 CNAME 記錄已設為 WordPress.com 的預設值：
   1. 按一下畫面右上角的省略符號圖示 (三點圖示)。
   2. 按一下「還原預設 A 記錄」和/或「還原預設 CNAME 記錄」：

完成這些步驟後，你的 WordPress.com 網站會於幾小時內在網域上顯示，並在不久之後套用 SSL。你也可以手動佈建 SSL 憑證。

解決阻止網站 SSL 佈建的問題後，請按照下列步驟手動佈建網站的 SSL 憑證：

1. 前往網站的儀表板。
2. 前往「升級」→「網域」(如果是 WP 管理員，則前往「主機服務」→「網域」)。
3. 按一下網域。
4. 向下捲動至「網域安全」區段後，按一下標題即可展開區段。
   • 如果找不到此區段，請確定網域名稱已正確設定。
5. 按一下「佈建憑證」按鈕。

這會要求網域的 SSL 憑證。如果尚未解決導致 SSL 無法套用至網域的潛在問題，SSL 佈建將會失敗。

續訂網域時，網域的 SSL 憑證會自動續訂，無須另外續訂 SSL。只要網域與 WordPress.com 網站保持連結，你的 SSL 憑證就會維持啟用狀態。

WordPress.com 認為強大的加密功能非常重要，因此無法停用 SSL。WordPress.com 也會將所有不安全的 HTTP 要求重新導向至安全的 HTTPS 版本。

SSL 憑證可為你網站和訪客瀏覽器之間的連線加密。這可以保護敏感資訊，讓你的網站值得信賴。現代瀏覽器會為安全網站顯示鎖定圖示，訪客可藉此判斷網站是否安全。

所有 WordPress.com 網站都會自動取得免費 SSL 憑證，無須購買或自行設定。

WordPress.com 上的 SSL 憑證來自 Let’s Encrypt 憑證授權單位。所有 WordPress.com 憑證皆使用統一的通用名稱 (tls.automattic.com)，並將唯一的網域名稱以約 50 個一組的方式，分批儲存在 SubjectAltName 屬性中。由於所有現代瀏覽器皆遵守此屬性，因此你和訪客不會在網站上看到任何安全性警告。

TLS 是 SSL 的升級版本，不過 SSL 和 TLS 這兩個詞經常會交替使用。WordPress.com 支援 TLS 版本 TLSv1.2 和 TLSv1.3。

WordPress.com 也會傳送強制安全傳輸技術 (HSTS) 標題與所有 HTTPS 回應，確保你的網站可透過 https 存取，而非安全性較低的 http。