● 「お名前.com」での、Wordpressサイトの無料のSSL化の方法について(無料SSL化サービスの利用開始とその後の各種設定について)
  
  
★ はじめに
最近、Webサイトの開設者にとっては「SSL化」がほとんど「義務」のようになってきました。
昔は有料だったと思うのですが、最近ではホスティングサービス(レンタルサーバ業務)をしてくれる会社が無料でのSSL化機能を提供してくれています。

本当に安全になるのかどうか、僕にはわかりませんが、今後「とりあえず、やらんとしゃーなくなった!」というケースも増えてはくると思いますので、本記事でも少しお話をさせていただこうかなと思います。

余談ですが、SSL化の波はWebさいとだけではなく、プロバイダから渡される「メール設定」にも広がってきています。
メールソフトの設定~SSLがらみのメール設定の例(Outlook Express、Thunderbird、Shuriken・シュリケン)
メールソフトの設定02~SSLがらみのメール設定の例(Win10-1703+Windows Live Mail 2012)

※参考Web記事

『常時SSL化(https)のメリット・デメリットまとめ。あなたのサイトもいつかhttpsに移行することになるかも!?』
https://osusume-houhou.com/advantages-and-disadvantages-together-always-ssl-of-https/

『WordPressで作ったブログのSSL化(https化)は簡単だけど意外な落とし穴もある』
https://studiopoppo.jp/poppoblog/business/30572/

『WordPressをhttps(ssl)化する設定と手順【備忘録】』
https://www.wholenotism.com/blog/2018/02/wp-ssl-configuration.html

  
  
★ 「SSL化」とは?
これは、「Webサイト開設者の立場から」の言葉・・・というか用語と言って良いと思いますが、要は、ユーザーさん達にホームページを見てもらうときの通信を、平文の(運が悪いと情報がダダ漏れの)通信ではなくて、「暗号化した通信」で行えるようにすることです。

  
  

★ SSL化するメリット01(一般利用者・エンドユーザー的な立場から)
通信が暗号化されるので・・・、例えばショッピングカートや何らかの問い合わせ送信フォームなどで、ユーザー名とパスワードを入力した場合、それが暗号化されるため情報漏洩しにくいです。
なのでより安全にWebショッピングを楽しんだり、コミュニケーションのやり取りができます。

SSL化されていないサイトでユーザー名とパスワードを入力した場合は、それが盗まれることがありますので危険な場合があります。

  
  

★ SSL化するメリット02(Webサイト開設者の立場から)
自分のサイトがSSL化してあれば、Googleなどの検索エンジンやエンドユーザーから「一応安全なサイト」としてみなしてもらえるので、自分のサイトにアクセスしてくれる人の数が減りにくいです。

逆に、SSL化してないと、「安全ではないサイト」とみなされるため、アクセス者数が減る傾向にあるそうです。(自分のサイトの中にショッピングカートや何らかの問い合わせ送信フォームなどが無くてもこれはそういう傾向にあります。)

2018/07/14現在、現時点では、例えばGoogle Chrome やFire Foxというブラウザにおいて、SSL化されていないサイトにアクセスすると「安全ではない」旨の「区別・見分け」が(IEよりも少しオーバーに・明確に)できるようになっています。
例えば Google Chrome だと、URLボックスのところに明確に「保護された通信」と出ます(グリーンの文字で)。これは「SSL化されてますよ!」と言う意味です。
FireFoxではグリーンのカギマークが表示され、クリックすると「安全な接続」と出ます。これも「SSL化されてますよ!」と言う意味です。

一方、SSL化されていないサイトにアクセスするとChromeもFireFoxも、グリーンのカギマークは出てきません。

Google Chrome やFire Foxのシェアは合わせてだと多分50%くらいは行くと思うので、半数の人が、SSL化されてないサイトを「危険」と認知していくようになる、ということだそうです。

  
  

★ 「SSL」と「TLS」の違いについて
「TLS」は「SSL」の進化系・・・といいますか、後継の通信規格ですけど、現時点では昔からある「SSL」という用語で統一されてしまってるそうです。

SSLのバージョンを古いものから並べると次のようになります。
(※FireFoxでのSSLサイトの閲覧設定では特に以下の順序を知っておいたほうが良いです。)

SSL 1.0
SSL 2.0
SSL 3.0
TLS 1.0
TLS 1.1
TLS 1.2
TLS 1.3

現在は「TLS 1.3」という通信規格のバージョンが一番新しいそうですね。
一番古いのは「SSL1.0」・・・。

最新バージョンのブラウザは初期設定としては「TLS1.1」以前のSSLサイトは最初から見られないようになっています。

なので、逆に・・・、例えばショッピングサイトなどで、「TLS1.1」以前の規格のSSL化しかなされていないサイトの場合は、それを見る場合・ショッピングしたい場合は、危険を承知の上で、オプション設定などで「TLS1.0」「TLS1.1」などにチェックを入れたり、それに該当する値を入力したり、ということをしなければなりません。

そのとき、ブラウザによっては、『このサイトを見たい場合はセキュリティ設定を落とさないとけないけど本当にそれやっちゃっていい?』みたいな少々怖いメッセージが出ます。

2018/07/14現在、現時点では、「TLS 1.1」や「TLS 1.0」など、TLS 1.1以前のSSLバージョンは、暗号化が解読されてしまうようなので「安全ではないSSLバージョン」ということらしいです。

なので、SSL設定がしてあっても、古いタイプのSSL設定だと、Webサイト開設者の立場からすると、「安全ではないサイト」とみなされてしまうみたいです。(詳細理由は僕もまだよくわかっていません。でも、安全ではないとみなされるのは確実です。)

そのため、アクセス者数が減ってしまう傾向にあるそうです。

繰り返しになりますが、各ブラウザにおいても、『TLS 1.1以前のSSLバージョンのサイトは危険なので表示させない』、という初期設定のものが増えてきているようです。

このような傾向から言っても、「Webサイト開設者にとっては」、SSL化はどうやら必須のようです。

※SSL化してあっても、「TLS 1.1や1.0」のサイトだと、ブラウザが『セキュリティがダメなサイトです。継続して見たいならセキュリティ設定を落としますか?』みたいな、いかにもヤバそうなメッセージを出します。そして設定を落とさない場合は閲覧すらできません。

でもなぜか、『最初からSSLにすらしてないサイト』ではそうはなりません。URLのボックスのところに「暗号化されてない」という旨のアイコンが表示されるだけで、閲覧はほぼまちがいなくできてしまいます。

「TLS 1.1や1.0」のサイトよりももっと危険なサイトなのに、閲覧できちゃうんです。

そういうのはなんだか不公平っぽいですね。(^^)。笑
エンドユーザーとしては迷うところです。
いくら、URLのところに「暗号化されていない」と表示されても、そんなところにはなかなか気づけず、なんも出なければ「安全だ」と勘違いしてしまいます。

  
  

★ お名前.comでのSSL化機能について

「お名前.com」のSD共用サーバには、「無料SSLサーバー証明書 Let's Encrypt」という機能があります。

これによって無料で自分のサイトを「SSL化」というものができます。
現時点ではバージョンはTLS1.2のようです。

これはコントロールパネルから設定できます。(不安なら、サポートに電話して、いっしょにやってもらうといいでしょう。)

画面の中央あたりの「SSL設定」というメニューから設定することができます。
メニューの文言を押すと「SSL設定 - Let's Encrypt -」という画面に切り替わるので、ドメイン名を確認して「新規作成」で設定スタートです。

コントロールパネルで設定したあと、2、3時間すると設定が反映され、「https://」でアクセスできるようになります。

サポートの方にお伺いしましたところと、この機能は、「http://」でアクセスしてきた人を「https://」に自動的に飛ばしてくれることを「可能にする」サービスだそうです。

ただし、コントロールパネルで設定しただけでは、検索エンジンからの「http://」でのアクセスを、自動的に「https://」に飛ばしてもらえないようなので、そうするには自力で「.htaccess」などの設定をしなければならないようです。

WordPressサイトの場合は、プラグインを追加インストールして作業すると、それを自動的にしてくれるようにできます。

  
  

★ お名前.comの共用SDサーバにおける「無料のSSL化」に必要な作業(Wordpressサイトでの)

お名前.comの共用SDサーバにおいて、WordpressサイトをSSL化する流れは、おおまかには次のような感じです。

(01)まずはバックアップ(BackWPupなどで)
(02)「無料SSLサーバー証明書 Let's Encrypt」を開始
(03)「Really Simple SSL」プラグインによる「http:// から https:// へ」の自動飛ばし設定(リダイレクト設定)
(04)一応、念のためにここでもバックアップ(BackWPupなどで)
(05)「Search Regex」プラグインによる投稿記事内の画像リンクなどの一括書き換え(httpからhttpsへ)
(06)Googleアナリティクスなどの分析サイトの設定変更(httpからhttpsへ)
  
  
それぞれのやり方は以下のとおりです。

(01)まずはバックアップ(BackWPupなどで)
まずは、現在の状態をバックアップしておきます。
必要に応じて、また、念のために、バックアップデータをダウンロードできるようならしておきます。
なお、BackWPupなどでバックアップする際は、必ず、リストア(復元)できるかどうかをテストしてからにしてください。

ちなみに、お名前.comのSD共用サーバでは、標準でBackWPupでのリストアをサポートしていないので、BackWPupでバックアップしても普通にはリストアできません。リストアするには自分で「phpMyAdmin」をインストールしてからでないとできません。
もしリストアしたい場合は、やり方は以下の記事をご参考にしてください。
(記事を書いた日時が古いので、今もあてはまるかどうかわかりませんが、参考程度にはなると思います。)

『【WordPressサイトの破壊と復元】お名前.comの共用SDサーバで「phpMyAdmin」をインストールし、現在のMySQLデータベースに接続し、WordPressのバックアップデータの復元をテストする方法』
https://euc-access-excel-db.com/tips/ct07_se/ct071501_wordpress/phpmyadmin_wp_restore
  
  
(02)「無料SSLサーバー証明書 Let's Encrypt」を開始
不安なら、サポートに電話して、いっしょにやてもらうといいでしょう。

画面の中央あたりの「SSL設定」というメニューから設定することができます。
メニューの文言を押すと「SSL設定 - Let's Encrypt -」という画面に切り替わるので、ドメイン名を確認して「新規作成」で設定スタートです。

コントロールパネルで設定したあと、2、3時間すると設定が反映され、「https://」でアクセスできるようになります。
  
  
(03)「Really Simple SSL」プラグインにて、「http://」を自動的に「https://」に飛ばしてもらえるようにする(もちろん、検索エンジンからのアクセスも「https://」に自動的に飛ばしてもらえます。)

基本、インストールして、ぽちっとな、とやるだけです。

詳しくはこちらのサイトをご参照ください。
「WordPressを一瞬でHTTPS化するプラグイン「Really Simple SSL」の使い方」

WordPressを一瞬でHTTPS化するプラグイン「Really Simple SSL」の使い方


  
  
(04)一応、念のためにここでもバックアップ(BackWPupなどで)
必要に応じて、また、念のために、バックアップデータをダウンロードできるようならしておきます。
次項で一括置換しますが、そこでとてつもないミスをする可能性やプラグインがうまく動かない、サイトが壊れる、などの恐れもありますので、ここまでの時点の状態も、念のためにバックアップをとっておきます。
繰り返しますが、お名前.comのSD共用サーバには「phpMyAdmin」が標準機能で使えないのでBackWPupなどでバックアップしても普通にはリストアできません。詳しくは(01)の参考記事を参考にしてください。
  
  
(05)「Search Regex」プラグインにて、投稿記事の中の、画像やPDFファイル、ZIPファイルなどへのリンクのURLは自動的に飛ばしてもらえないものもあるので、それはすべて「http://」から「https://」に書き換える。(自サイトの投稿記事へのリンクのURLは、「http://」のまま書き換えなくても自動的に「https://」に飛ばしてもらえますので書き換えは必要ありません。)
詳しくはこちらのサイトをご参照ください。

『WPで記事内の画像など内部リンクは「Search Regex」で簡単に相対パスに一括置換出来る』
https://coronblog.net/2017/09/23/124438.html

基本的には、インストール直後、特に何の設定も変えずに、置換前の語句(Search pattern)と置換後の語句(Replace pattern)を設定して、「Search」や「Replace」でどういう感じに一括置換されるかのプレビューを見ていろいろ確認したのち、「Replace & Save」で確定します。
変な風に書き換わらないように、「Replace & Save」は最後の最後にします。
それまでは気になるところを何度も「Search」や「Replace」でのプレビューを繰り返します。
そして、置換前と置換後の語句の設定を、より間違いのない正確なものに修正していきます。

置換設定が「本当に、ほんとうに、もう大丈夫!」となったら、そこでやっと「Replace & Save」ボタンで一括置換をします。

とてつもない勘違いと思い込みでデータをめちゃくちゃにしてしまったら、(04)のバックアップでもとに戻します。(ただし、お名前.comのSD共用サーバではデフォルトでは簡単には戻らないのでご注意ください。)
  
  
(06)もしGoogleアナリティクスやサーチコンソールを使っている場合は、その設定の変更。(「http://」から「https://」に)
他の無料の解析サイトを利用している場合も、その設定の変更が必要かもです。
詳しくはこちらのサイトをご参照ください。
「https化の後はGoogleアナリティクスの設定を変更しよう!【対応必須】」
https://wacul-ai.com/blog/access-analysis/google-analytics-setting/google-analytics-https/