WordPressのセキュリティプロトコルにTLSとSSLのどちらを使うべきか迷っていませんか?
セキュリティ証明書をインストーラすることで、サイトのセキュリティが確保され、オンラインストアでの決済が可能になり、ユーザーを保護することができます。しかし、SSLやTLSといったキーワードは初心者を混乱させることがあります。
この投稿では、TLS証明書とSSL証明書について説明し、WordPressサイトでどちらのプロトコルを使用すべきかを紹介します。
SSL/TLS証明書とは?どのような仕組みですか?
SSLはSecure Sockets Layerの略で、TLSはTransport Layer Securityの略です。どちらも証明書の形でサイトにインストールするインターネット・セキュリティ・プロトコルです。
SSL/TLS証明書は、WordPressサイトのセキュリティロックのようなものです。ユーザーがあなたのサイトにアクセスすると、セキュリティ証明書はユーザーのブラウザーにデータを送信する前にデータを暗号化します。同様に、ユーザーのブラウザーもデータを暗号化してからWordPressサイトに送り返します。
インターネット上のすべてのサイトは、セキュリティ証明書を使用しなければなりません。これにより、オンライン上で安全に支払いを受け付けたり、パスワードを保護したり、個人データを安全に転送したりすることができます。
SSLやTLSのようなセキュリティ証明書は、セキュリティ・キーで動作します。データがサイトからユーザーのブラウザーに転送される際、データは暗号化されてロックされます。データを読み取るには、ユーザーのブラウザーがそれを解除するためのセキュリティ・キーが必要です。
同様に、ユーザーがデータを送り返す際には、同じセキュリティキーを使用してデータを暗号化します。その後、WordPressサイトは秘密鍵を使用してデータを復号化します。
サイトにセキュリティ証明書をインストールすると、サイトのアドレス(URL)の先頭がhttp:// から https://に変わります。
これは、HTTPS(Secure HTTP)プロトコルを使用してインターネット上で安全に情報を転送していることを示しています。
WordPressの設定でURLを更新し、訪問者が古いリンクを使用したときに正しいURLに移動するようにリダイレクトを設定する必要があります。HTTPからHTTPSへの適切な移行方法については、こちらのガイドをご覧ください。
SSL証明書とTLS証明書の違いは?
SSL(SecureSockets Layer)は、ウェブサイトで使用されるセキュリティ証明書の元となった技術です。SSL証明書は1995年に初めて使用されました。
残念ながら、オリジナルのSSLプロトコルにはセキュリティ上の欠陥が見つかり、ハッカーに対して脆弱なままになっていた。これらの脆弱性により、ハッカーはサイトとユーザーのブラウザー間を行き来するデータを傍受し、変更することができた。
何年もの間、SSLをより安全にするためにいくつかの改良が加えられました。以下は、セキュリティの脆弱性が発見されたときの変更の簡単な年表です:
- SSL 1.0(未公開)は、セキュリティ上の問題から一般に公開されることはありませんでした。
- SSL 2.0(1995年)はセキュリティ上の問題から2011年に非推奨となった。
- SSL 3.0(1996年)はセキュリティ上の問題から2015年に非推奨となった。
- TLS 1.0(1999年)はセキュリティ上の問題から2021年に非推奨となった。
- TLS 1.1(2006)はセキュリティ上の問題から2021年に非推奨となった。
- TLS 1.2(2008)は現在も使用されている。
- TLS 1.3(2018)は現在も使用されている。
SSLプロトコルは使われなくなったが、SSL証明書というキーワードは先頭に固定表示され、今でもTLS証明書の同義語としてよく使われている。
要約すると、TLSはSSL証明書の進化形である。インターネット上のほとんどのサイトはTLS証明書を使用しています。しかし、今でも一般的にSSL証明書と呼ばれています。
WordPressサイトのSSL証明書の取得方法
WordPressサイトのSSL証明書を取得する方法はいくつかあります。価格は通常、年間50~200ドルです。ただし、無料で取得できる場合もあります。
最良のオプションは、ホスティングプランに無料のSSL証明書が含まれているWordPressホスティングサービスプロバイダを選択することです。そうすれば、ホスティングサービスのダッシュボードから簡単にセキュリティ証明書をオンにすることができます。
ここでは、無料のSSL証明書を提供する最高のWordPressホスティングサービスのプロバイダーのための私たちの推薦のいくつかを紹介します:
ホスティングサービスが無料のSSL証明書を提供していない場合は、Let’s Encryptで無料で取得できます。
SSL証明書を購入したい場合は、Domain.comを利用することをお勧めします。Domain.comは世界最大級のドメイン登録サービスであり、SSL証明書を最もお得に購入することができます。
年間35.99ドルからのシンプルなSSL証明書プランを提供しており、10,000ドルのセキュリティ保証とTrustLogoサイトシールが付いてくる。
SSL証明書を購入したら、ホスティングサービスにインストールを依頼するか、WordPressをHTTPからHTTPSに正しく移行する方法についてのチュートリアルに従ってください。
よくある質問SSLとTLSに関するよくある質問
WPBeginnerでは、読者からSSL証明書とTLS証明書についてよく質問を受けます。ここでは、これらのセキュリティプロトコルに関する最も一般的な質問に対する答えを示します。
TLSとSSLはどう違うのですか?
TLS(Transport Layer Security)とSSL(Secure Sockets Layer)は、インターネット上の通信を保護するために使用される暗号化ベースのプロトコルです。
両者は同じ目的を果たすが、TLSはSSLに代わるより新しく安全なものである。
最近のブラウザーはSSLに対応していないものが多いため、すべてのユーザーがサイトにアクセスできるようにしたい場合は、TLSを使用する必要があります。
TLSの最新バージョンは?
TLSの最新バージョンはTLS 1.3だ。2018年にリリースされ、これまでのTLSの中で最も安全なバージョンである。しかし、TLS 1.2もまだよく使われています。
TLS 1.2と1.3は、ほとんどの最新のブラウザーと端末でサポートされています。
それ以前のバージョンは、既知のセキュリティ上の問題があるため、使用しないでください。
自分のサイトがどのバージョンのSSLまたはTLSを使用しているかを確認するにはどうすればよいですか?
サイトがどのSSLまたはTLSプロトコルを使用しているかを確認する最も簡単な方法は、Qualys SSL Labs SSL Server Testのようなオンラインツールを使用することです。
サイトのドメイン名を入力し、「送信」ボタンをクリックするだけです。このツールは、サポートされているバージョンを表示し、一般的なSSLの問題も検索します。
自分のサイトがまだSSLを使用している場合、どうすればよいですか?
あなたのサイトがまだSSLを使用している場合は、TLSにアップグレードする必要があります。また、安全性の低い古いTLSバージョン1.0または1.1を使用している場合もアップグレードが必要です。
TLS 1.2および/または1.3にアップグレードすることで、サイトのセキュリティが向上し、よりアクセスしやすくなります。さらに、これはホスティングサービスが行うことができる比較的簡単なプロセスです。
WordPressのSSL証明書に関するエキスパートガイド
TLSとSSLについてよりご理解いただけたと思いますので、WordPressのSSL証明書に関連する他の投稿もご覧ください。
- WordPressをHTTPからHTTPSに正しく移行する方法(初心者ガイド)
- WordPressでHTTP/2を有効化する方法とは?
- WordPressサイトの無料SSL証明書の取得方法(初心者ガイド)
- Let’s EncryptでWordPressに無料SSLを追加する方法
- WordPressでよくあるSSLの問題を解決する方法(初心者ガイド)
- WordPressの混合コンテンツエラーを修正する方法(ステップバイステップ)
- 接続がプライベートでないエラーを修正する方法(サイトオーナーズガイド)
- WordPressのセキュア接続エラーを修正する方法
このチュートリアルで、TLS証明書とSSL証明書の違いをご理解いただけたでしょうか。また、究極のWordPressセキュリティガイド、またはエキスパートが選ぶ最高のWordPressセキュリティプラグインもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Moinuddin Waheed says
I have used SSL certificate for all my WordPress websites and I never knew that in fact I was using the TLS behind the scene.
secure socket layer what we have studied so far but as you have mentioned originally it was SSL and when vulnerability arose, with the successive improvements, it has evolved to TLS.
though the name we are using is SSL.
thank you for the clarification of both the terms.
WPBeginner Support says
You’re welcome, glad you found our post helpful
管理者
Jiří Vaněk says
Thank you for the article and explanation of the difference between SSL and TLS. I currently use CloudFlare services, which use TLS certificates. However, the certificate verification service mentioned in the article isn’t functional with Cloudflare, likely due to the proxy server. It’s not possible to perform the check with it. It continuously checks in a loop but doesn’t display the result.
WPBeginner Support says
Sadly for that inability to check you would want to reach out to CloudFlare and they would be able to assist.
管理者
Ralph says
This is the first time I even hear about TLS. Didn’t even know it exists!
I have free Lets Encrypt with my hosting. It works for 30 or 45 days i don’t remember but they auto renew it, so i never bother to do anything about it in years of blogging.
WPBeginner Support says
Unless we hear otherwise, they’re currently using TLS
管理者
Ram E. says
Thanks for this informative article. Question: when do you think it is best to upgrade to TLS when the SSL currently installed on your sites are working just fine and offerred free by your hosting provider? Is there any use case where you really need to make the switch?
WPBeginner Support says
We would recommend first checking with your hosting provider in case they are already using TLS and naming it SSL for your site and after that you could look to upgrade to TLS if they are using SSL. When possible it would be best to change over but that answer depends on the specific site.
管理者
Ram E. says
Got it, thank you.
Konrad says
Still calling it SSL
I can’t imagine any serious website operating without it. Thank you.
WPBeginner Support says
You’re welcome
管理者