はじめに

HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer) は、セキュリティを確保するために設計された HTTP チャネルです。 HTTPS は HTTP を SSL/TLS プロトコルでカプセル化しているので、HTTPS セキュリティの基盤は SSL/TLS です。

HTTPS アクセラレーションの利点 :
  • 伝送中の重要な情報を暗号化し、攻撃によるセッション ID やクッキーなどの情報漏洩を回避します。
  • 伝送中のデータの整合性を確保し、DNS やコンテンツが第三者に乗っ取られるなどの中間者攻撃 (MITM) を防ぎます。
Alibaba Cloud CDN は HTTPS セキュリティアクセラレーションを提供します。 HTTPS を有効にした後に証明書と秘密鍵をアップロードすると、証明書の確認、無効化、有効化、および編集ができます。
SNI Back-to-Origin が必要な場合は、チケットを起票してください。

利用シナリオ

Alibaba Cloud CDN ノードへのリクエストは HTTPS セキュアアクセラレーションによって暗号化されます。 また、CDN ノードはオリジンサイトの設定に従って、オリジンサイトのリソースにアクセスします。 オリジンサイトで HTTPS を設定し有効にして、フルリンクで HTTPS アクセラレーションを暗号化することを推奨します。

HTTPS 暗号化のプロセスは以下のとおりです。

  1. HTTPS リクエストを開始します。
  2. サーバーは公開鍵と秘密鍵 (自前で作成またはプロフェッショナルな組織による申請) を生成します。
  3. サーバーから公開証明書が送られてきます。
  4. 証明書を検証します。
    • 証明書が正しい場合は、乱数 (秘密鍵) が生成され、公開鍵で暗号化されてサーバーに転送されます。
    • 証明書が正しくない場合、SSL ハンドシェイクは失敗します。
    証明書の検証には、証明書が有効期間内であること、CA の信頼性、サーバー発行者のナンバー署名を暗号化できる公開鍵であること、サーバーの証明書のドメイン名が実際のドメインと一致するかなどが含まれます。
  5. サーバーは以前の秘密鍵を使用して乱数 (秘密鍵) を復号化して取得します。
  6. サーバーは秘密鍵を使用して送信データを暗号化します。
  7. 秘密鍵を使用して暗号化されたサーバーの日付を復号化し、最終的にデータを取得します。

設定について
  • HTTPS セキュリティアクセラレーションは、画像と小容量ファイル、ダウンロード、ビデオ、およびライブストリーミングメディアで利用できます。
  • ワイルドカードドメイン名に HTTPS Acceleration を利用することができます。
  • HTTPS Acceleration を有効化または無効化できます。
    • 有効化 : 証明書を変更することができます。 システムは、デフォルトですべての HTTP リクエストおよび HTTPS リクエストと互換性があります。 オリジナルのリクエスト方法に強制リダイレクトをカスタマイズすることもできます。
    • 無効化 : システムは HTTPS リクエストをサポートせず、証明書または秘密鍵の情報も保存しません。 証明書を再度開く場合は、証明書または秘密鍵を再アップロードする必要があります。
  • 証明書を確認することはできますが、秘密鍵は重要性が高いため確認することはできません。 証明書情報の扱いにはご注意ください。
  • 証明書の更新は慎重に行います。 更新は 1 分後に有効になります。

課金について

HTTPS セキュリティアクセラレーションは付加価値サービスなので、HTTPS リクエストは支払いが発生します。 詳細は、「HTTPS 価格設定」をご参照ください。
HTTPS リクエストには別途お支払いが発生します。 アカウントの残高が十分あることを確認しておかないと、CDN サービスに影響する可能性があります。

証明書について

  • httpsセキュリティアクセラレーション機能を使用してアクセラレーションドメイン名を有効にするには、証明書と秘密鍵を PEM 形式でアップロードする必要があります。
    Alibaba Cloud CDN は Nginx ベースの Tengine サービスのみを採用しているため、PEM 形式の証明書のみが利用可能です。 詳細は、「証明書のフォーマット」をご参照ください。
  • SNI 情報を含む SSL/TLS ハンドシェイクのみが利用可能です。
  • アップロードした証明書が秘密鍵と一致しないと、検証に失敗する可能性があります。
  • パスワード付きの秘密鍵は利用できません。

手順

  1. 証明書を購入 ドメイン名と一致する証明書を所有している場合にのみ、httpsセキュリティアクセラレーションを有効にできます。 [SSL 証明書コンソール] で Alibaba Cloud 証明書を購入、または無料の証明書の申請が簡単に行なえます。
  2. [CDN コンソール] にログインして [ドメイン名] ページに入ります。 ドメイン名を選択し、[管理] をクリックします。
  3. [HTTPS 設定] > [HTTPS 証明書] で、[変更] をクリックします。
  4. [HTTPS 設定] ダイアログで [HTTPS セキュア] を有効にします。
  5. 証明書のタイプを選択します。 [Alibaba Cloud 証明書][カスタム]、または[無料証明書] を選択できます。 現在利用可能なのは PEM 形式のみです。
    • Alibaba Cloud 証明書を選択できます。 一覧に一致する証明書がない場合は、カスタム証明書を選択してください。 証明書名を設定したら、証明書の内容と秘密鍵をアップロードする必要があります。 アップロードした証明書は Alibaba Cloud Security に保存されます。 証明書は [マイ証明書] で確認できます。
    • 無料の証明書、つまり Alibaba Cloud CDN Digicert DV バージョン SSL 無料証明書も選択できます。 この無料の証明書は Alibaba Cloud CDN サービスでのみ利用可能で、Alibaba Cloud Security の SSL 証明書サービスで管理することはできません。 この証明書は CDN で httpsセキュリティアクセラレーションを有効にする場合にのみ使用され、他の用途で公開鍵と秘密鍵を取得することはできません。 無料の証明書の使用を選択後、証明書が有効になるまでに約 10 分かかります。
  6. 証明書が有効かどうかを確認します。 証明書が有効になったら (約 1 時間)、HTTPS を使用してリソースにアクセスできます。 緑色の HTTPS マークは、Web サイトとのプライベート接続が確立され、httpsセキュリティアクセラレーションが有効になったことを示します。
証明書の交換について
  • 証明書を無料証明書または Alibaba Cloud 証明書に変更する場合は、[HTTPS 設定] ページで変更する証明書 ([無料証明書] または [Alibaba Cloud 証明書]) を再選択します。
  • 証明書をカスタム証明書に変更する場合は、[HTTPS 設定] ページで [カスタム] を選択します。 ターゲット証明書の名前と内容を入力ボックスに入力した後、証明書を送信します。