Let's Encryptを使用してWordPressFreeにSSLを手動で追加する方法は？

HTTPからHTTPSに移行し、WordPressサイトにSSL証明書をインストールすることを検討していますか？ 次に、SSLをWordPressに無料で追加する方法を学びます。 すべてのインターネットユーザーは、毎日たくさんの個人情報を共有しています。 私たちは皆そうします。 オンラインショッピング、アカウントの作成、さまざまなWebサイトへのサインインなど。

適切に暗号化されていない場合、この情報は誰かが取得する可能性があります。 ここでSSLが役に立ちます。 これは、ユーザーのブラウザーとWebサーバー間の接続を保護するための暗号化テクノロジーを提供します。

各サイトには、識別のために一意のSSL証明書が発行されます。 サーバーがHTTPSを使用しているふりをしていて、その証明書が一致しない場合、最新のブラウザーのほとんどは、サイトに接続するときにユーザーに警告します。

以前は、SSLでサイトを保護する唯一の方法は、有料のSSL証明書を使用することでした。 Let'sEncryptが一般公開されるまで。

Let's Encryptとは何ですか？

Let's Encryptは、一般の人々にSSL証明書を提供する無料のオープン認証局です。 これは、インターネットセキュリティ研究グループ（ISRG）のプロジェクトです。 Let's Encryptは、Google、Facebook、Sucuri、Mozilla、Ciscoなどを含む多くの企業によって後援されています。

WordPressのWebサイトにSSL証明書をインストールするのに最適な時期はありません。 特に、Google Chromeセキュリティチームが2017年1月から、ブラウザがHTTP接続を安全でないものとしてラベル付けし始めると発表したとき：

2017年1月（Chrome 56）から、すべてのHTTPサイトを非セキュアとしてマークする長期計画の一環として、パスワードまたはクレジットカードを送信するHTTPサイトを非セキュアとしてマークします」とChromeセキュリティチームのメンバーは述べています。エミリーシェクター。 計画の最初のステップは、アドレスバーに「安全ではありません」というラベルを表示することです。

HTTPサイトに安全ではないとラベルを付けることを避けたいサイト所有者は、サイトを保護する時間があまりありません。

サイトにSSLを使用するもう1つの利点は、本質的にHTTPプロトコルの進化形であるHTTP / 2を利用できることです。 HTTP / 2を使用するWebサイトは、複数のファイルを同時に転送できるため、より高速です。

私はかなり長い間、すべてのサイトにSSLを実装するつもりでした。 問題は、Let'sEncryptの無料SSLを実装する方法がわからなかったことです。

Let's EncryptSSLをWordPressに追加する方法に関する多くのチュートリアルを読みました。 しかし、それらはすべて私には複雑に思えます。 最後に、よく読んだ後、Let's EncryptSSLをインストールする簡単な方法を見つけました。

私の方法は以下にあります。 他の方法もあります。 このガイドは初心者向けであり、Let'sEncryptを使用して一部のWordPressサイトにSSLを無料でインストールした経験に基づいています。

SSH、rootアクセス、実行中のコマンド、およびその他のプロセスを必要とせずに、平均的なユーザーは（私を含めて）理解できず、WordPressSSL実装に関するほとんどのガイドが言及しています。

この投稿は非常に長く、多くの情報が含まれていますが、興味がある場合は、WPサイトにLet's Encryptを簡単に実装する方法のセクションにジャンプする前に、以下のいくつかの用語の説明を確認してください。

HTTPSとSSLとは何ですか？

私たちは毎日、個人情報をさまざまなWebサイトと共有しています。 購入する場合でも、単にログインする場合でも、データ転送を保護するには、安全な接続を確立する必要があります。 それがSSLとHTTPSが登場するときです。

安全なサイト（オンラインバンキングポータルなど）を操作しているときはいつでも、ブラウザバーのアドレスの前に通常のhttp H：//ではなくhttps：//が付いていることに気付いたかもしれません。

それに加えて、最近のほとんどのブラウザでは、そのようなサイトに接続すると、ブラウザバーに小さな南京錠が表示されます。

HTTPSまたはSecureHTTPは暗号化方式です。 ユーザーのブラウザとサーバー間の接続を保護します。 これにより、ハッカーが接続を盗聴することが難しくなります。

なぜHTTPからHTTPSに移行し、SSL証明書をインストールするのですか？ プロトコルは2つの間の接続を設定し、関係が正常に確立されると、暗号化された情報のみが転送されます。

つまり、そこにあるあらゆるシュマックによって読み取られる可能性のあるすべてのプレーンテキスト情報は、人間が読み取れないランダムな文字と数字の文字列と交換されます。

ハッカーが情報の交換を妨害した場合、暗号化によってその意味を理解するのがはるかに困難になります。

暗号化標準

SSLとHTTPSには、異なる暗号化標準が付属しています。 最も古いものはSHAと呼ばれ、現在は使用されていません。 後継のSHA1は、まだ流通していますが、現在非推奨になっています。

たとえば、Google Chromeは、2016年の初めにこの標準で実行されているサイトに対して警告の発行を開始しました。

SSLプロトコルの現在の暗号化標準はSHA2です。 ただし、ある時点で、現在開発中のSHA3​​に取って代わられるでしょう。

注： SSLは、実際には証明書の正しい名前ではなくなりました。 この技術は90年代後半に改良され、その名前はTLS（Transport Layer Security）に変更されました。 ただし、頭字語SSLはスタックしており、今日まで使用されているようです。 それで、私もそれを主にこの投稿で使用します。

なぜHTTPSとSSLが必要なのですか？

eコマースWebサイトを実行している場合は、SSL（Secure Sockets Layer）証明書が必ず必要です。 特に支払い情報を収集している場合。 Stripe、PayPal Pro、Authorize.netなどのほとんどの支払いプロバイダーは、SSLを使用した安全な接続が必要です。

Googleは、検索結果のランキングシグナルとしてHTTPSとSSLを使用していると述べました。 これは、SSLを使用するとサイトのSEOを改善できることを意味します。

また、SSLを実装すると、HHTP / 2を利用できます。これにより、すでに述べたように、複数のファイルを同時に転送できるため、サイトの読み込み時間が短縮されます。

SSLを使用すると、メールアドレス、クレジットカード情報、パスワードなどの機密データをハッカーによる攻撃から保護できるだけでなく、サイトのランキングと速度も向上します。

以前はSSL証明書は高価でした。 年間10ドルから200ドルまで。 しかし、Let's Encryptプロジェクトのおかげで、無制限の数の証明書を無料でアクティブ化できるようになりました。

WooCommerceサイトにSSL / TLSが必要な理由

セキュリティの問題は、どのWebサイトでも、特にオンラインショップにとって非常に重要です。 eコマースサイトでは、クライアントとサーバーの間で多くのやり取りがあります。 顧客は、支払いプロセスを完了するために、クレジットカード番号などの個人情報を提供する必要があります。

したがって、あなたは彼らのすべての個人情報を保護する必要があります。 また、eコマースサイトを成功させるための最も重要な鍵である顧客の信頼を築くのにも役立ちます。 ハッカーが情報を盗むことができる安全でないオンラインショップで製品を購入したいと思う人は誰もいません。

SSLを使用することにより、データは即座に暗号化され、ハッカーが転送中にデータを読み取ることを防ぎます。 PayPal標準の支払い方法を使用するWooCommerceWebサイトでは、セキュリティを強化するためにSSLが必要になるため、PayPalを使用してチェックアウトする場合のWooCommerceサイトや、その他の多くの支払いゲートウェイでは、SSLを使用する必要があります。

なぜ暗号化しようか？

Let's Encryptは無料の自動化されたもので、専用のIPは必要ありません。オープンな認証局と多くの企業が、これをサポートしています。 また、多くのホスティング会社やCDNプロバイダーなどが、Let's Encryptを実装しているため、サイトへの適用がさらに簡単になります。

Let'sEncryptの主な機能は次のとおりです。

• 無料です–すべてのドメインに無料でインストールできます。
• 安全–情報の交換に最高水準のセキュリティを使用します。
• 透過的–発行または取り消されたすべての証明書は記録され、誰でも閲覧できるように公開されます（これは不利な点と見なすこともできます）。
• 専用IPなし–専用IPにお金をかける必要はありません。
• 互換性–すべてのブラウザと互換性があります。
• 共有ホスティング–専用またはVPSだけでなく、共有ホスティングで使用できます（最も手頃なWordPressホスティングプロバイダーを確認してください）。

Let's Encryptの唯一の欠点は、90日ごとに更新する必要があることです。 ただし、このプロセスは手動で介入しなくても自動化できます。

WordPressにSSLを追加する方法は？

Let's Encryptの人気が高まるにつれ、多くのWordPressホスティング会社が組み込みの簡単なLet's EncryptSSLセットアップの提供をすでに開始しています。

Let's Encryptの無料SSLをWordPressに追加する最も簡単な方法は、組み込みの統合を提供するホスティング会社にサインアップすることです。 残念ながら、すべてのホスティング会社がLet'sEncryptをサポートしているわけではありません。 Let'sEncryptをサポートするホスティングビジネスの完全なリストは次のとおりです。

＃1あなたのホスティングオファーLet's Encrypt Integration（EASIEST）

ホスティング会社が統合を提供している場合は、サイトにLet'sEncryptを簡単に設定できます。 ホスティングプロバイダーである必要はありません。

ほとんどのCDNサービスは、Let'sEncryptとの統合を無料で提供しています。 これらのCDNプロバイダーの例は、KeyCDN、MaxCDN、CDNSun、またはIncapsula（Incapsulaのレビューを確認）で、有料プランでSSL証明書を無料で提供します。

この場合、証明書の更新は自動的に行われるため、心配する必要もありません。 Sitegroundの例で説明します。

cPanel（cPanelとは）ダッシュボードにログインし、セキュリティセクションまでスクロールダウンします。 そこで、Let'sEncryptアイコンをクリックする必要があります。

これにより、Let'sEncryptのインストールページが表示されます。 SSLを使用するドメイン名を選択する必要があります。

これで、インストールボタンをクリックできます。 暗号化して、Webサイトに一意のSSL証明書を発行します。 完了すると、成功メッセージが表示されます。

それで全部です。 Let'sEncryptの無料SSLをWordPressサイトに正常に統合しました。 ここでは、他に何もする必要はありません。

ただし、WordPressサイトはまだ使用する準備ができていません。 まず、WordPressのURLを更新してから、安全でないコンテンツの問題があれば修正する必要があります。 あなたはそれについてのすべてを以下に見つけることができます。

＃2無料の追加ホスティングが統合を提供しない場合はSSLを暗号化しましょう

WebホストがSiteGround、DreamHost、およびLet's Encryptを提供する他のホスティング会社のような統合を提供していない場合は、やや長い手順を実行する必要があります。

しかし、パニックを開始する必要はありません。 ホスティングまたはCDNが統合を提供していない場合でも、WordPressWebサイトにSSLを追加する簡単な方法を紹介します。

この方法は、Webホストごとに異なります。 ほとんどのホスティング会社には、プロセスを説明するサポートドキュメントがあります。 詳細な手順については、サポートスタッフに問い合わせるか、サポートスタッフに依頼することもできます。

一部のホスティング会社はSSL証明書をインストールします。 秘密鍵、証明書、CAを提供するだけです。 それは私がハーフダラーホスティングでやったことです。 私はちょうど彼らに連絡しました、そして彼らはあなたがそれをあなた自身でセットアップすることを許可しないので彼らは私のためにそれをしました。

ドメインごとに証明書を提供する必要があります。 また、Let's Encryptの場合は、90日ごとに再度連絡して、各サイトの証明書を更新する必要があります。

cPanelを使用してサーバーにSSL証明書を手動でインストールする

まず、SSL ForFreeにアクセスします。 心配しないでください。安全に使用でき、Let'sEncryptと協力して証明書を発行します。 wwwの有無にかかわらずドメイン名を入力します。 SSL For Freeは他のバージョンも証明書に追加するので、問題ありません。 私はデフォルトですべてのサイトでwwwを使用しているので、常にプライマリとして配置します。

次に、[無料のSSL証明書を作成]ボタンをクリックします。 次に、証明書を追加するドメインを所有していることを確認するように求められます。 自動FTP検証と手動検証のどちらかを選択できます。

自動FTP検証を選択した場合、ユーザー、パスワードなど、ドメインのサーバーアカウントのFTP情報を入力する必要があります。検証は自動的に行われます。 手動検証を使用することを好むので、手動の手順を示します。

この場合に必要な手順は、間違いを犯さないようにサイトで説明されています。 ファイルをダウンロードし、cPanelにログインし、ドメインフォルダーに移動して、ページの手順に従って新しいフォルダーを作成します。 次に、ダウンロードしたファイルを「acme-challenge」フォルダーにアップロードします。

すべてが正しく行われたことを確認したら、[ SSL証明書のダウンロード]ボタンをクリックします。 私は自分のCSRを持っていることを決してチェックしません。 その場合は、1つ提供されます。

これで、秘密鍵、証明書、およびCAを取得できます。 クリックしてダウンロードすると、.zipファイルが作成されます。 このファイルは、ホスティングがインストールされる場合はホスティングに提供し、証明書を自分でインストールする場合は抽出します。

証明書の有効期限が近づいたときに通知されるオプションを有効にすることもできます。 Let'sEncryptの証明書を忘れた場合は90日間有効です。 その後、同じ手順で更新する必要があります。

証明書を取得した後。 サーバーにインストールする時が来ました。 以下の手順に従って、サイトにSSLをインストールします。

1.cPanelアカウントにログインします

2. [セキュリティ]セクションでSSL / TLSマネージャーを見つけてクリックします

3. [ WebサイトのSSLのインストールと管理（HTTPS） ]メニューの[SSLサイトの管理]をクリックします。 [SSLサイトの管理]オプションがない場合は、ホスティングプロバイダーに連絡して、証明書をインストールできるかどうかを尋ねてみてください。

4.受信した証明書コード（-BEGIN CERTIFICATE-および-END CERTIFICATE-を含む）をコピーして、[Certificate：（CRT）]フィールドに貼り付けます。

入力した証明書の横に表示される[証明書による自動入力]ボタンをクリックできます。 システムは、ドメイン名と秘密鍵の取得を試みます。

ドロップダウンリストからドメインを選択し、対応するボックスに証明書と秘密鍵を手動で入力することもできます。 証明書とキーの開始/終了ヘッダーとフッターを含めることを忘れないでください。

注：以下の画像は単なる例です。 同じ情報、発行者、証明書などはありません。

CAバンドルをコピーして、認証局バンドル（CABUNDLE）の下のボックスに貼り付けます。 この証明書をメールサービスに使用する場合は、[メールサービスのSNIを有効にする]チェックボックスをオンにします。

この場合、SSL証明書がインストールされているドメインを、セキュリティで保護されたポートを介して機能するようにメールクライアントを構成するメールサーバーのホスト名として使用できます。

このオプションは、cPanel11.48以降でのみ使用できます。 古いバージョンのcPanelを使用している場合、証明書をメールに使用することはできません。

「証明書のインストール」ボタンをクリックしてください。5.

おめでとう！ これで、サイトのサーバーに証明書がインストールされました。 これで、https：//からサイトにアクセスできるようになります。

証明書をテストし、ブラウザでhttpsを使用してサイトをチェックし、正しく表示されるかどうかを確認します。

プラグインを使用してSSLを設定した後のWordPressURLの更新

Let's Encryptを使用して無料のSSL証明書を設定したら、次のステップは、WordPressのURLをHTTPからHTTPSに移動することです。 SSL証明書のない標準サイトはHTTPプロトコルを使用します。 これは通常、次のようにWebアドレスのhttpプレフィックスで強調表示されます： http://www.example.com ： http://www.example.com

SSL証明書を使用する安全なWebサイトは、HTTPSプロトコルを使用します。 これは、アドレスがhttps://www.example.com.ようになっていることを意味しhttps://www.example.com. WordPressサイトのURLを変更しないと、SSLを使用できなくなり、サイトは機密データを収集するための安全性が失われます。

1.新しいWordPressWebサイトのWordPressURLをHTTPSに更新する

まったく新しいWebサイトで作業している場合は、WordPress管理エリアに移動して[設定]をクリックするだけです。 そこで、httpsを使用するためにWordPressのURLフィールドとサイトのURLフィールドを更新する必要があります。

変更を保存することを忘れないでください。

2.既存のWordPressサイトのWordPressURLをHTTPSに更新する

あなたのサイトがしばらくの間稼働しているなら、それは検索エンジンによって索引付けされている可能性があります。 他の人がURLにHTTPを使用してリンクしている可能性があります。 すべてのトラフィックがhttpsURLにリダイレクトされていることを確認する必要があります。

あなたがする必要があるのは、Really SimpleSSLプラグインをインストールしてアクティブ化することです。 このプラグインはSSL証明書を自動的に検出し、それを使用するようにWebサイトを設定します。 ほとんどの場合、これ以上変更を加える必要はありません。 プラグインは、安全でないコンテンツの問題も修正します。

3.プラグインなしで既存のWordPressWebサイトにSSLを追加した後のWordPressURLの更新

ウェブサイト全体にhttpsを強制的に通過させたいが、プラグインを使用しない場合は、次のルールを.htaccessファイルに追加できます。

SSLセットアップ後のコンテンツ混合エラーの考えられる問題

新しいドメインにSSL証明書をインストールすると、すべてのページと画像などのすべてのリソースがHTTPSプロトコルで自動的に提供されます。

ただし、すでに使用されているドメインで証明書が有効になっている場合は、コンテンツの混合で問題が発生する可能性があります。 つまり、HTTPSで提供されるコンテンツとHTTPで提供されるコンテンツがあるということです。

混合コンテンツは、サイトの残りの部分がより安全なHTTPSに移行している間に、コンテンツの一部が引き続きHTTP経由で配信される場合に発生します。

この場合、最新のブラウザは警告を表示し、ユーザーがサイトを安全でないと見なす原因になります。

無料のツールSSLCheckを使用して、サイト全体をスキャンし、安全でない画像、スクリプト、CSSファイルなどを探します。 この情報を使用して、修正措置を講じることができます。 単一のページをチェックする代わりに、なぜ南京錠がないのですか？

また、サイトを閲覧しているときに、ブラウザバーで南京錠の記号を探すこともできます。 コンテンツが混在しているパーツにアクセスすると、警告が表示されます。

このようなページに遭遇した場合は、ChromeまたはFirefoxの開発者ツールのコンソールを見て原因を見つけることができます。 この記事では、コンテンツの混合の問題を解決するためのさまざまな方法を示します。

CloudFlareを使用してミックスコンテンツエラーを解決する

サイトがCloudFlare上にある場合は、CloudFlare自動HTTPS書き換えを利用できます。 自動HTTPS書き換えは、暗号化されていないリソースへのリンクをHTTPからHTTPSに書き換える機能です。

書き換えが適用され、Web訪問者に送信されるHTMLで提供される前に、HTTPS経由で参照にアクセスできることを確認するためにルールセットがチェックされます。

HTTPS経由でサイトに接続し、鍵のアイコンが表示されていないか、黄色の警告三角形が表示されている場合、サイトにHTTPアセット（「混合コンテンツ」）への参照が含まれている可能性があります。

混合コンテンツは、多くの場合、管理できない要因が原因です。 これは、サードパーティのコンテンツまたは複雑なコンテンツ管理システムを組み込むことができます。

URLを「http」から「https」に書き換えることにより、自動HTTPS書き換えは、Webサイト全体をHTTPS経由で利用できるようにするタスクを簡素化し、混合コンテンツエラーを排除し、Webサイトによってロードされるすべてのデータを確実に保護します。

サイト上の安全でないアイテムを修正する

SSL Insecure ContentFixerプラグインをインストールします。 含まれているすべての要素を処理し、https以外のリソースが存在する場合は修正します。 すぐに機能しない場合は、プラグインの設定を確認してください。

証明書の有効期限が切れるとどうなりますか？

証明書の有効期限が切れると、訪問者はそれに関する警告を受け取り、サイトに入らないようにアドバイスされます。 これを起こさせてはいけません。 証明書が時間内に更新されることを常に確認してください。 外部機関によって検証されていない自己署名証明書にも同じ警告が表示される場合があります。

HTTPSに移行した後、GoogleAnalyticsの設定を更新する

WordPressサイトにGoogleAnalyticsをインストールしている場合は、その設定を更新し、httpsを使用して新しいURLを追加する必要があります。 Google Analyticsダッシュボードにログインし、トップメニューの[管理者]をクリックします。 次に、Webサイトの下のプロパティ設定をクリックする必要があります。

そこにデフォルトのURLオプションが表示されます。 HTTPをクリックしてから、httpsを選択します。 保存ボタンをクリックして設定を保存することを忘れないでください。 また、https：// wwwをwwwなしでサイトのGoogleウェブマスターツールに追加します。

特定のページにのみSSLを設定する

何らかの理由で、サイトの特定のページにのみSSLを追加する場合は、WordPress HTTPS（SSL）と呼ばれるプラグインが必要になります。

このプラグインはしばらく更新されていませんが、それでも問題なく動作します。 アクティベーション時に、プラグインはWordPress管理者にHTTPSというラベルの付いた新しいメニュー項目を追加します。 クリックすると、プラグインの設定ページにアクセスできます。

セットアップページの最初のオプションでは、SSLホストを入力するように求められます。 ほとんどの場合、それはあなたのドメイン名です。 ただし、サブドメインでサイトを構成していて、取得したSSL証明書がプライマリドメイン名用である場合は、ルートドメインを入力します。

ウェブホストから提供された共有SSL証明書を使用している場合は、ドメイン名の代わりに、提供されたホスト情報を入力する必要があります。

[SSL管理を強制する]設定は、WordPressがすべての管理領域ページでHTTPを使用するように強制します。 このボックスをチェックして、WordPress管理エリアへのすべてのトラフィックが安全であることを確認する必要があります。

次のオプションは、 SSLを排他的に強制することです。 このチェックボックスをオンにすると、[SSLを強制する]オプションをオンにしたページでのみSSLが使用されます。 他のすべてのトラフィックは、標準のHTTPURLに送信されます。

これは、ショッピングカート、チェックアウト、ユーザーアカウントページなどの特定のページでのみSSLを使用する場合に機能します。[変更を保存]ボタンをクリックして、プラグイン設定を保存します。

特定のページにのみHTTPSを使用する場合は、それらのページを編集して、[SSLを強制する]チェックボックスをオンにする必要があります。 完了したら、ページにアクセスして、Chromeやその他のブラウザに緑色の南京錠があることを確認します。

Let's Encrypt With CloudFlareを設定する方法は？

あなたがあなたのサイトでCloudFlareを使用しているなら、あなたはおそらくCloudFlareフレキシブルSSLまたは彼らがそれをユニバーサルSSLと呼んでいることを知っているでしょう。 ユニバーサルSSLは単にCloudFlare無料SSLサービスの名前です。

2014年に、CloudFlareはすべてのユーザーに無料のユニバーサルSSLを発表しました。 これは、特に無料パッケージで使用できることを知っていると、かなり素晴らしいと思います。

しかし、多くの人はCloudFlare FlexibleSSLがどのように正確に機能するかを理解していません。 柔軟なSSLオプションは、ユーザーとCloudFlaresネットワーク間の安全なトラフィックのみを提供します。

CloudFlareとあなたのウェブサイトの間ではありません。 これは、ユーザーのトラフィックが通常のHTTPトラフィックとしてインターネット経由で公開されることを意味します。

Webサイトに機密情報がある場合は、フレキシブルSSLはお勧めしません。 このオプションは、独自のWebサーバーでSSLをセットアップできない場合の最後の手段としてのみ使用してください。 このオプションは、以下に示すフルSSLオプションよりもはるかに安全性が低くなります。 – CloudFlare

それで、これの問題は何ですか？ まあ、ウェブサイトの所有者はこれについて知っているかもしれないし、知らないかもしれません。 彼らはこれを受け入れ、柔軟なSSLを使用することを選択できます。 それは彼らがリスクを取ることを選択しています。

しかし、ウェブサイトのユーザーはどうですか？ ウェブサイトのユーザーは違いを知りません。 HTTPSが表示されます。

これは有効な証明書であると考え、実際に安全でないHTTPを経由していることを知らなくても、Webサイトを楽しく使用し、個人情報や銀行の詳細などを提供します。

したがって、CloudFlareからFlexible SSLを使用する場合は、サイトをHTTPSURLに変更しないでください。 Let's Encryptをインストールした後は、デフォルトのままにするか、FullStrictに変更してください。

CloudFlareのフレキシブルSSLモードは、無料プランのCloudFlareサイトのデフォルトです。 CloudFlareとオリジンサーバー間の接続を暗号化するフルおよびストリクトSSLモードを利用するには、オリジンサーバーに証明書をインストールする必要があります。

Let's Encrypt SSL証明書をサイトにインストールするときは、証明書をインストールしたサイトのCloudFlare Crypto設定に移動し、SSL設定をFull（strict）に変更します。

これで、オリジンサーバーへの認証および暗号化された接続の追加の利点があります。

Let'sEncryptの代わりにCloudFlareOriginCertificateをインストールすることもできます。 Cloudflareオリジン証明書はCloudflareによって発行された無料のTLS証明書であり、HTTPSを使用して訪問者のエンドツーエンド暗号化を容易にするためにオリジンサーバーにインストールできます。

そのオプションはCloudFlareのCryptoタブにあります。 デフォルトでは、新しく生成された証明書は15年間有効です。 短くすることもできます。

CloudFlare OriginCertificateはまだブラウザによって信頼されていません。 ただし、CloudFlareによって信頼され、バックエンド接続の暗号化と認証の両方が可能になります。

これにより、公的に信頼されている認証局の1つが攻撃者によって侵害され、不正な証明書を発行するために使用された場合にも、サイトが保護されます。

注： CloudFlareまたはグレークラウドの個々のゾーンを一時停止するときは、再度オレンジクラウド（リバースプロキシ）するまで、CloudFlareOrigin証明書を使用してサイトのブラウザーでエラーが発生する可能性があることに注意してください。

Chromeやその他のブラウザはCloudFlareオリジン証明書を信頼しません。 これらは、CloudFlareのサービスの背後にあるオリジンサーバーによってのみ使用されることを目的としています。

ただし、ルート証明書も利用できます。 それらをローカルのTLSトラストストアに追加すると、CloudFlareを経由せずに直接検証できます。

CloudFlareフレキシブルSSL対フルSSL対フルSSL厳密

オリジンWebサーバーがセキュア（HTTPS）接続を受け入れることができない場合にのみ、「フレキシブル」を選択してください。 自己署名SSL証明書がある場合は「完全」を選択し、有効なSSL証明書がある場合は「完全（厳密） 」を選択します。

オフ：訪問者とCloudFlareの間に安全な接続がなく、CloudFlareとWebサーバーの間に安全な接続もありません。

つまり、訪問者はHTTP経由でのみWebサイトを表示でき、HTTPS経由で接続しようとする訪問者には、サイトのプレーンHTTPバージョンへのHTTP301リダイレクトが返されます。

柔軟なSSL ：訪問者とCloudFlareの間の安全な接続ですが、CloudFlareとWebサーバーの間の安全な接続はありません。 WebサーバーにSSL証明書を設定する必要はありませんが、訪問者はサイトがHTTPS対応であると見なします。

Webサイトに機密情報がある場合、このオプションはお勧めしません。 独自のWebサーバーでSSLをセットアップできない場合にのみ、最後の手段として使用する必要があります。 他のどのオプションよりも安全性が低く（「オフ」であっても）、それから切り替えることにしたときに問題を引き起こす可能性さえあります。

フルSSL ：訪問者とCloudFlareの間の安全な接続、およびCloudFlareとWebサーバーの間の安全な接続（ただし認証されていない）。 少なくとも自己署名証明書を使用して、HTTPS接続に応答するようにサーバーを構成する必要があります。

フルSSL（厳密） ：訪問者とCloudFlareの間の安全な接続、およびCloudFlareとWebサーバーの間の安全で認証された接続。

有効なSSL証明書を使用して、HTTPS接続に応答するようにサーバーを構成する必要があります。 この証明書は、認証局によって署名され、将来の有効期限があり、要求ドメイン名（ホスト名）に応答する必要があります。

サーバーに証明書をインストールしました。 CloudFlare証明書が表示されるのはなぜですか？

CloudFlareを使用すると、エッジでデータを復号化して、不良トラフィックをキャッシュおよびフィルタリングします。 SSL設定によっては、再暗号化するか、プレーンテキストとして送信する場合があります。

各証明書には専用のIPアドレスが必要なため、SAN（サブジェクト代替名）のドメイン名とワイルドカード（* .domain.com）ドメインが証明書に追加されます。

CloudFlare無料プランを使用していて、サードパーティの証明書（Let's Encryptなど）がインストールされている場合、サイト証明書を確認すると、常にCloudFlare証明書が表示されます。

訪問者が証明書をチェックするときにCloudFlareの名前が表示されないようにする場合は、CloudFlare Business / Enterpriseプランが必要です。 言い換えれば、あなたは支払う必要があります。

これらのプランのお客様は、独自のSSLキーと証明書をアップロードでき、CloudFlareの名前は表示されません。

SSL証明書を転送する方法は？

新しいサーバーに移動していますが、古い証明書にまだ時間が残っていますか？ 証明書を新しいサーバーに移動できる場合があります。 SSLを移動する場合、証明書は新しいサーバー上の同じドメイン名のものである必要があります。

WordPressの無料の最終的な単語にSSLを手動で追加する方法

最近ではHTTPSが必要です。 これにより、ユーザーのプライバシーが向上し、新しいブラウザー機能を使用できるようになり、既存の機能へのアクセスを維持できます。

ご覧のとおり、Let's Encryptを使用すると、SSL証明書を簡単に取得でき、無料で入手できます。 私たちは、インターネットネットワークセキュリティにおける小さいながらも重要な革命の始まりに過ぎません。

機密データを扱うWordPressWebサイトを運営している場合は、SSLが必要です。 トラフィックの暗号化がないと、クライアントの情報が傍受されるリスクが非常に高くなります。

責任あるサービスプロバイダーであることに加えて、追加されたセキュリティ層は検索エンジンにとっても前向きなシグナルです。 So if you don't do it for your clients, at least do it for the rankings.

I have already started installing SSL certificate on my WordPress websites. Soon you will also see HTTPS on kasareviews.com. I recommend you taking the same step.

Remember, an ounce of prevention is worth a pound of cure. Take WordPress security seriously . Your visitors and customers will thank you.