WordPressのSSL/HTTPS化とは？意味や実装手順を解説

WordPressでサイトを作る際にSSL・HTTPS化の意味がよくわからないという方もいらっしゃいます。

SSL(HTTPS)とは、インターネット上のデータを暗号化して送受信する仕組みで、ホームページやブログは基本的にSSL化が推奨されています。

今回はSSL化の意味やWordPressでSSLするメリット、実装手順を解説します。

SSL(HTTPS)とは。SSLの意味とメリット

SSLとは通信データを暗号化して安全に通信する仕組み

「SSL（Secure Sockets Layer）」とは、インターネット上でやり取りする通信データを暗号化して送受信する仕組みを指します。

http通信をSSL化(HTTPS)をすることで、通信データを保護し、クレジットカードのような他人に知られると悪用される重要な情報を守ります。

項目	SSL化されていないURL	SSL化されているURL
プロトコル	http://example.com/	https://example.com/
セキュリティ	低	高
アドレスバーの表示	保護されていない通信	鍵マーク

WebサイトをSSL化するとHTTPS通信になり、端末間の通信が暗号化されてWebブラウザ上でもアドレスバーに鍵マークが表示されて安心感があります。

+ SSLが持つ３つの主な機能

厳密に言うと、SSLは、「通信の暗号化(盗聴防止)」だけでなく、「通信データの改ざん防止」や「(2者間での)なりすまし防止」という3つの機能を備えています。

暗号化(盗み見を防止する)
データの改ざん防止
(2者間での)なりすまし防止

具体的には、暗号化で通信をする前に、第三者機関である認証局が署名したサーバー証明書を利用することでなりすまし防止を行っています。

また、暗号化通信の際に改ざん検知用のデータも同時に送ることで改ざんを検知しています。

+ 暗号化プロトコルSSLとTLSについて

現在は「SSL」だけではなく、「TLS」や「SSL/TLS」と表記されている情報が多々あります。

元々1994年ネットスケープ社がSSL(バージョン1.0)というプロトコルを開発したのですが、その後、SSLに脆弱性が発見されて、IETFという団体がTLSというよりセキュリティの高いTLS（Transport Layer Security）というプロトコルを開発しました。

ただし、現在のHTTPS通信で利用されているプロトコルは厳密にはSSLではなくTLSですが、元々SSLからスタートしたことから、慣習的に、現在も「SSL」もしくは「SSL/TLS」という表記をしている情報が多いということです。

バージョン	年
SSL1.0	設計レビュー中に大きな脆弱性が見つかり破棄
SSL2.0	1994年リリース
SSL3.0	1995年リリース
TLS1.0	1999年リリース
TLS1.1	2006年リリース
TLS1.2	2008年リリース
TLS1.3	2018年リリース　※2022年現在主に利用されているバージョン

Transport Layer Security - Wikipedia

HTTPSとSSLの違いは？

ここでは簡単のためHTTPS≒SSLとして説明していますが、厳密にはSSLは暗号化技術の一つで、HTTPSはHTTP通信・プロトコルをSSL化したものです。

HTTPSの他にもFTPやSMTPなど他のプロトコルもSSL化することができます。

HTTP over SSL (HTTPS)
FTP over SSL (FTPS)
SMTP over SSL (STMPS)

基本的にどのサイトでもSSL化は推奨

SSLはほぼスタンダードの技術になってきており、個人ブログなど訪問者が重要な情報を入力するような場面がないWebサイトでも、最初にSSL化しておいた方が望ましいです。

また、SSL化はGoogleの検索順位のランキング要因にも関わる指標の一つとされているので、SEOの観点からもSSL化はしておきたいところです。

サイトのコンテンツを問わず、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を導入することをおすすめします。 HTTPSでサイトを保護する | Google SearchConsoleヘルプ

SSL化されてない(HTTP)場合のリスク・デメリット

SSL化していない場合はインターネット通信は「http」通信で行われますが、通信データは平文（暗号化なしのテキストそのままの状態）で送信されています。

セキュリティの弱い公衆wifiなどでVPN(※注)なしでWordPressにログインする場合、悪意ある第三者によってログイン情報を盗聴されたり書き換えたりされるリスクがあります。

なお、SSL化されていない通信の場合は、アドレスの前に以下のマークと「保護されていない通信」と表示されます。

クリックすると下記のように警告表示され、利用者に不安を与えてしまう恐れもあります。

参考【個人向け】VPN接続とは・メリットデメリットや利用シーン

クライアントPCとWebサーバー間のSSL通信の流れ

クライアントPCとWebサーバー間のSSL化の流れは下記の通りです。

前述の章では、SSL(HTTPS)により通信の中身を暗号化して安全に通信する仕組みと説明しましたが、より具体的に説明すると、下記のような流れでSSL通信を実現しています。

■クライアントPCとWebサーバー間のSSL通信の流れ

クライアントがWebサーバー(Webサイト)に「https://.....」でアクセスする際に、WebサーバーにSSL接続を要求します。
サーバーはクライアントに対して、自身を証明するためのサーバー証明書(SSLサーバー証明書)を送付します。
クライアントは、サーバーから受け取ったサーバー証明書を検証して、自身がアクセスしたWebサーバー本人の証明書か(なりすまされていないか)を確かめます。
サーバー証明書がWebサーバー本人のものであることを確認とれたのち、クライアントはSSL通信用の共通鍵を作成して、送られてきたサーバー証明書に含まれるWebサーバーの公開鍵で共通鍵を暗号化します。
クライアントは、暗号化した共通鍵をサーバーに送付します。
サーバーは、クライアントに送付したサーバー証明書に含まれる公開鍵の対となる自身だけが持つ秘密鍵で、クライアントから送付された共通鍵を復号化します。
===この時点でクライアントとサーバーは両者共通の共通鍵を持つことになります。===
以降、サーバーとクライアントはデータのやり取りをお互い共通鍵で暗号化・復号化しながらデータ通信します。

+ SSLを関係の専門用語の補足

解説で利用する用語について下記にまとめておきます。難しい用語もありますが、解説ででてくるのでざっくり目を通しておくと解説がわかりやすくなります。

用語	意味
公開鍵暗号化方式	データの暗号化に使う鍵とデータの復号化に使う鍵がそれぞれ別々になっている暗号化方式。暗号化に使う鍵を公開鍵、データの復号化に使う鍵を秘密鍵と言います。
RSA暗号	公開鍵暗号方式で有名な暗号化アルゴリズムの一つで、桁数が大きい合成数の素因数分解問題が困難であることを安全性の根拠とした公開鍵暗号方式。発明者であるロナルド・リベスト、アディ・シャミア、レオナルド・エーデルマンの原語表記の頭文字をつなげてこのように呼ばれています(※wikipedia)。
公開鍵	通信を暗号化するときに使う鍵。不特定多数に漏れても問題がない公開されている鍵で、通常サーバー証明書の中に含まれています。
秘密鍵	公開鍵で暗号化されたデータを復号化するための鍵。https通信の場合、通常Webサーバーだけの中にあり、第三者に漏れてはいけない秘密の鍵です。
共通鍵暗号化方式	通信の暗号化と復号化を同一の鍵で行う暗号化方式。共通鍵暗号方式で利用する鍵を共通鍵と言います。
サーバー証明書(SSLサーバー証明書)	第三者機関の認証局(CA)によって発行されるデジタルな証明書。サーバー証明書は、クライアントの通信対象のWebサーバーが確かに本人であること証明するもの(なりすましされていない)です。証明書には、ドメイン認証/企業認証/EV認証などいくつかのレベルがあります。
認証局(CA)	Webサーバーの申請者から申請を受けてサーバー証明書を発行する信頼できる第三者機関。
CSR(Certificate Signing Request)	認証局へのサーバー証明書発行要求。対象のURL(ドメイン)や、申請者情報、Webサーバーの公開鍵が含まれた暗号化されたテキストファイルです。Webサーバーの所有者が、サーバー上でCSRを生成して認証局にサーバー証明書発行の申請依頼に利用します。認証局がCSRに署名をしてサーバ証明書を発行します。
ハッシュ化	特定の計算規則にそって元データを不可逆にランダムな文字列に変換・符号化すること。暗号化との違いは、暗号化は復号できるのに対して(可逆性がある)、ハッシュ化は不可逆な変換で理論上元データに戻すことはできません（生卵→ゆで卵は可能だが、逆はゆで卵→生卵は不可なイメージです）。

+ なぜ最初から公開鍵・共通鍵だけで通信しないのか

初めてSSLの暗号化の仕組みを勉強した際に、なぜ最初から公開鍵暗号化方式だけ、または共通鍵暗号化方式だけの一方で暗号化を実現しないのか疑問に思った方もいるのではないでしょうか。

前述のようにわざわざ２つの方式を組み合わせているのは、両者にはそれぞれデメリットがありそれを補うためです。

公開鍵暗号化方式のデメリット

公開鍵・秘密鍵での暗号化復号化は、共通鍵での暗号化復号化よりも処理が重く時間がかかるため、データ通信のたびに公開鍵・秘密鍵で暗号化復号化していると時間がかかるというデメリットがあります。

共通鍵暗号化方式のデメリット

一方、共通鍵だけで通信しようと思うと、通信の相手の数だけそれぞれの相手用の共通鍵をサーバーに保管しておく必要があります。共通鍵暗号方式だけでSSLを実現しようとすると、膨大な数の共通鍵をサーバー側は持たないといけなくなるっというデメリットがあります。

上記から公開鍵暗号化方式と共通鍵暗号化方式を組み合わせることで、公開鍵暗号化方式のデメリットである暗号化復号化の処理の遅さっと共通鍵暗号化方式のデメリットである膨大な数の鍵が必要になる問題の両方を克服しています。

+ 公開鍵と秘密鍵の具体的にはどのようなものなのか

現実世界の鍵と違って、デジタル上の鍵というとイメージがつきにくいと思います。

デジタル上の鍵は、実際には下記のような英数字の文字列からなるファイルです。

SSLで利用している公開鍵暗号化方式の一つであるRSA暗号化方式は、桁数が大きい合成数の素因数分解問題が困難であることを安全性の根拠とした仕組みになっています。

WordPressでSSL化を実装するための流れ

最近の多くのレンタルサーバーの場合、無料SSLであればサーバー管理画面からSSL化の設定にチェックを入れてポチッとボタンを押すだけでできるものもあります。

有料のSSLを申し込んだ場合でも、サーバー側でサーバー証明書発行申請(CSR情報記入など)するだけで、あとはレンタルサーバーサイドで証明書発行からインストールまでしてくれるところも多いです(証明書インストールは自身で行うケースもあります)。

ここではエックスサーバーを例にWordPressでSSL化する手順をご紹介します。

あわせて読みたい記事

【STEP1】サーバーで独自SSLを設定する

エックスサーバーの管理画面にログイン後、サーバーパネルで「SSL設定」をクリックします。

ドメインが複数ある場合はドメイン選択が表示されます。SSL化対象のドメインを選択します。

「独自SSL設定追加」タブをクリックします。

補足)すでにSSL設定済みの方は

エックスサーバーでのドメイン追加時にSSL化設定をしていた場合は、最初からSSL化されています。

すでに対象ドメインがSSL設定済みになっている場合は、手順２「WordPressでSSLの設定をする」からスタートしましょう。

+ 認証局 Let's Encrypt について

認証局のLet's Encryptとは、非営利団体のInternet Security Research Groupによって運営されている証明書認証局で、TLSの証明書を無料で発行している組織です。

無料SSLの多くはLet's Encryptが使われていることが多いです。

対象のドメインが選択されていることを確認して(通常はwwwありでOKです)、「確認画面へ進む」をクリックします。

確認画面が表示されますので、「追加する」をクリックします。

2,3分程度「取得中」と表示されるのでしばらく待ちます。

取得中の表示が消えたら「戻る」をクリックします。

SSL設定が「反映待ち」と表示されている間はしばらく待ちます。最大60分程度かかります。

何回か更新して反映待ち表示が消えたことを確認してOKです。

これでエックスサーバーでSSLの追加設定は完了です。次にWordPressの設定を行なっていきます。

【STEP2】WordPressでSSLの設定を行う

次に、WordPressでもSSLの設定を行います。ダッシュボードから「設定」を選択し「一般」をクリックします。

「WordPressアドレス（URL）」、「サイトアドレス（URL）」を「http://～」から「https://～」に変え、「変更を保存」をクリックします。(※)本操作で誤った内容を入力・保存すると、WordPressにアクセスできなくなる場合があるため、慎重に行いましょう。

一旦ログアウトされるので、再度ログインしましょう。

管理画面のアドレスがhttpsになっていることが確認できたらOKです。

【STEP3】「.htaccess」ファイルに常時SSLの設定を行う

最後に、常時SSLの設定を行なっていきます。

ここまでの設定だけでは、まだ「http」と「https」のURL両方にアクセスすることができる状態です。

そこで「http」のURLを「https」へ転送する設定を行っていきます(常時SSL)。設定を行うには、サーバー上にある「.htaccess」という重要なファイルを編集する必要があります。

+ .htaccessはサーバーの挙動を制御する設定ファイル

「.htaccess」ファイルとは、Apache(Webサーバーのソフトウェア) を使ったサーバーの挙動を制御するための設定ファイルです。

リダイレクト（サイトを訪れたユーザーに別のURLを転送するためのしくみ）、アクセス制限、ユーザー認証、404エラーページ（ユーザーがアクセスしたWebサイトが、存在しない場合に、表示されるページ）の作成などの設定を行います。

間違った書き方をすると、サイトにアクセスできなくなる場合もあるため、慎重に操作しましょう。

ここでは、エックスサーバーのサーバー管理パネルの.htaccess編集機能から、.htaccessを編集する方法を紹介します。

再度、エックスサーバーのサーバーパネルを開いてください。「.htaccess編集」をクリックします。

複数のドメインをがある場合はドメインの選択画面が表示されます。SSL化対象のドメインを選択しましょう。

+ SSL化の対象がサブドメインの場合

サブドメイン(例. xxx.yyy.com)については、.htaccess編集から設定できませんので、代わりにFTPソフトまたはエックスサーバーのファイルマネージャーから対象ドメイン＞public_html＞サブドメイン名＞.htaccessファイルに対して設定する必要があります。

エックスサーバーの管理画面トップ＞ファイル管理からファイルマネージャーに入ることができます。

ルート(親)ドメイン＞public_html＞対象のサブドメインにある、「.htaccess」を選択して編集します。

ここでファイルを追記・編集することができます。

「.htaccess編集」をクリックします。

.htaccessファイルの内容が表示されます。記載内容はご利用の環境によって異なる場合があります。元々ある記述は消さないでください。

.htaccessに書き加えるコードは、以下のとおりです。コピーしてください。

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

RewriteEngine On

RewriteCond %{HTTPS} !on

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

コピーしたコードを一番上の行に貼り付けます(元々合った記述は1文字も消さないようにしてください)。「確認する」をクリックします。

「実行する」をクリックします。

(補足. 中級者向け)コードの意味について

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

RewriteEngine On

RewriteCond %{HTTPS} !on

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

「RewriteEngine」とは、「有効(ON)・無効(OFF)の設定」で、「有効(ON)」にします。
「RewriteCond」とは、「条件を設定する」という意味です。
「 %{HTTPS} !on 」とは「httpsがonでない場合（SSLではない場合）」という意味です。
「RewriteRule 」とは、「ルールを設定する」という意味です。
[ R = 301 , L ]の「R = 301」は「永続的に転送する」という意味であり、「L」は「ルールを終了する」という意味です。

以上のコードで「http」でアクセスがあった場合、「https」へ転送しますというルールを設定しています。

最後に「http://自分のドメイン名」でアクセスしてみましょう。httpsにリダイレクトされて入れば完了です。

【有料SSLの場合】CSR発行からサーバー証明書の発行の流れ

有料のSSLを利用する場合、CSR情報を入力してサーバー証明書の発行するという手順を取ることが多いです。CSRとは、認証局へのサーバー証明書発行要求のことです。

Webサーバーの所有者が、CSRを生成して認証局にサーバー証明書発行の申請依頼に利用します。認証局がCSRに署名をしてサーバ証明書を発行します。

CSR発行からサーバー証明書の発行の流れは下記の通りです。申請者がCSRを作成して認証局に署名を依頼してサーバー証明書を発行して、(サーバーサポート又は利用者本人が証明書を)サーバーにインストールします。

■CSR作成からSSL化の流れ

サーバー側で公開鍵・秘密鍵を生成して、CSRを作成する(CSRには、組織情報や対象サイト情報(URL)や公開鍵が含まれている)
CA(認証局)にCSRを送付して、サーバー証明書の作成を依頼する。
CAによってサーバー証明書が発行される。サーバー証明書には、組織情報や対象サイト情報(URL)、公開鍵、証明書の有効期限が含まれている
サーバー証明書をサーバーにインストールする(所定の場所に格納する)
====ここまででサーバー管理者側での基本作業は完了====
必要に応じて.htaacessで常時SSLの設定や、WordPressを利用の場合などはアプリ側の調整設定を行う。

最近のレンタルサーバーでしたら、初心者の人でもSSL化できるように、SSL化の設定にチェックを入れてポチッとボタンを押すだけで、あとはレンタルサーバー側でほどんどやってくれます。

+ サーバー証明書(SSLサーバー証明書)

SSL（サーバー）証明書とは、ドメインや組織の実在を証明する役割をもつ電子証明書のことで、SSLサーバー証明書を発行することでサイト閲覧者がそのサイトの信憑性を確認できるようになります。

下記は、証明書の中身です。証明書には、証明書の有効期限、対象のURL(ホスト名含むドメイン名・コモンネームと言います)や署名してくれた認証局の情報、およびWebサーバーの公開鍵情報が含まれています。

サーバー証明書が発行されたら、Webサーバーにインストールする必要があります。インストールはサーバー側でやってくれる場合もあれば自分でインストールする場合もあります。

ルート証明書と中間CA証明書およびサーバー証明書

通常、クライアント側でWebサーバーの署名が信頼できるか確認するために、証明書は階層構造になってそれぞれ下位の証明書の身元を保証するようになっています。

最も上位の機関が発行した証明書をルート証明書といい、ルート証明書は通常Webブラウザの中に最初からインストールされています。

ルート証明書は、下位の認証局（ここではサーバー証明書に署名してくれた認証局。中間CA証明書）の身元を保証しています。

そして中間CA証明書は、Webサーバーの証明書の身元を保証しています。なお、通常、中間CA証明書もWebサーバーに保存されています。

日本の認証局（CA）の例

GMOグローバルサイン
さくらのSSL
セコムのSSLサーバー証明書
Sectigo（旧コモドジャパン）

少し強引ですが会社組織に例えると、社長(ルートCA)が決裁承認権を部長に渡し、部長(中間CA)が課長に決済承認権を渡し、課長(Webサーバー)は自身で決済承認するといった感じですね。

+ 認証局(CA)の署名のプロセスとクライアント側での検証プロセス

認証局(CA)の署名のプロセスとクライアント側での検証プロセスについての補足です。

認証局の署名のプロセス

クライアント側での証明書検証のプロセス

署名・検証の際の特殊な使わ方

この署名と検証のプロセスで特殊なのが、「CAが秘密鍵で暗号化に相当する処理」を行い、クライアントPC側が「CAの公開鍵で署名データを復号化する処理」をしていると言う点です。

本来は、「公開鍵で暗号化して」「秘密鍵で復号化する」のが公開鍵暗号化方式の仕組みで、筆者も初めて勉強した際はこの署名のプロセスにおいては逆の使われ方に違和感を感じていました。

調べてみると、RSAという暗号アルゴリズムでの署名プロセスにおいては、平文データを秘密鍵で復号化して、公開鍵で複合化されたデータを暗号化して元に戻すという処理がとられているようです。

(参考)「電子署名=『秘密鍵で暗号化』」という良くある誤解の話

サーバー認証の種類「ドメイン認証」「企業認証」「EV認証」

サーバー証明書には、SSLサーバー申請者の本人確認として、「ドメイン認証(DV認証)」「企業認証(OV認証)」「EV認証」の3つの方式を提供しています。

最近では無料SSLが多くなってきましたが、SSLの種類にはドメインや組織の実在証明（信頼できる組織か否かの正確な証明書）をするようなより厳格なSSLもあります。

認証方式	説明	ドメイン認証	実在認証	認証レベル	費用
ドメイン認証SSL (DV認証)	申請者が対象ドメインの所有者かどうかの本人確認をとった方式	◯	×	★	★
企業認証SSL (OV認証)	DV認証に加え、実在する企業なのか書類や電話で確認を取る方式	◯	◯	★★	★★
EV認証	OV認証と同様(より厳格な審査)。	◯	◯	★★★	★★★

サーバー証明書はサイトの閲覧者であれば誰でも確認することができます。

ドメイン認証SSL(DV認証)

ドメイン認証SSL（DV認証）とは、SSLの申請者がドメインの所有者であることを証明するものになります。

3つの認証方式の中では1番簡単に申請・発行することができ、料金も低価格で導入できます。※無料のSSLはも「ドメイン認証型のSSL」の一つです。

ドメイン認証SSLの問題点として、ドメインの所有者自身が架空業者などの悪意ある人であれば情報が悪用される可能性がある点です。

そこで、より厳格な審査方式として、その企業が存在するか、DV認証の内容に加えて組織の所在地や会社名を確認するプロセスを必要とする方式として「企業認証SSL」や「EV SSL」というものが存在します。

企業認証(OV認証)とEV認証

OV認証とEV認証は、上記のDV認証の内容に加えて組織の所在地や会社名を確認を必要とするものです。

EV認証はOV認証よりも世界的なガイドラインに基づき、より厳しい審査を得て発行されます。

企業認証SSLやEV認証を使ってより厳密な証明書を発行することで、そのサイト運営者が確かに実在する会社・組織なのかを確認することができます。

レンタルサーバーの「ConoHa」やドメイン取得サービスの「お名前.com」など、数々の有名サービスをリリースしている「GMOインターネット株式会社」コーポレートサイトのサーバー証明書を確認してみましょう。

DV認証と違い、ドメインを所有している組織の所在地や会社名など詳しい内容が記載されていますね。

「GMOインターネット株式会社」はEV認証みたいですねなります！

ドメイン認証では、Webサイト運営者自身が悪意ある人間・組織かどうかまで判断できません。

そんな時にOV認証やEV認証を利用することで、ちゃんと自社の組織が運営するサイトだと利用者にわかってもらえるようになります。

まとめ

まとめです。今回はSSL化の意味やWordPressでSSLするメリット、実装手順を解説します。

SSL(HTTPS)とは、インターネット上のデータを暗号化して送受信する仕組みで、ホームページやブログは基本的にSSL化が推奨されています。

項目	SSL化されていないURL	SSL化されているURL
プロトコル	http://example.com/	https://example.com/
セキュリティ	低	高
アドレスバーの表示	保護されていない通信	鍵マーク

SSL化はほぼスタンダードの技術になってきており、GoogleもSSLを推奨しています。ホームページ・ブログを始めたばかりの方も、最初からSSL化しておきましょう。

今回は以上になります。最後までご覧いただきありがとうございました。

あわせて読みたい記事

YouTubeチャンネル開設

PICK UP

個別指導Webスクール