HTTPSは、ネットワーク上の安全な通信に使用されます。 Alibaba Cloud CDNによって高速化されたコンテンツ配信に対する強化された保護を提供します。 SSLは、Alibaba Cloud CDNを使用してコンテンツ配信を高速化する場合に、クライアントとサーバー間で送信されるデータを保護します。 このトピックでは、HTTPSに関するよくある質問に対する回答を提供します。
HTTPSセキュアアクセラレーションを有効にした後に追加料金が発生するは?
HTTPSリクエストのIPアドレスがIPアドレスホワイトリストまたはブラックリストに属しているか、HTTPSリクエストのヘッダーがUser-Agentホワイトリストまたはブラックリストに属しているため、HTTP 403または404ステータスコードが返されたときにHTTPSリクエストに対して課金されますか? HTTPSリクエストのIPアドレスがIPアドレスホワイトリストまたはブラックリストに属しているか、HTTPSリクエストのヘッダーがUser-Agentホワイトリストまたはブラックリストに属しているため、HTTP 403または404ステータスコードが返された場合にHTTPSリクエストに対して課金されますか?
HTTPSがオリジンサーバーで設定されている場合、POPのHTTPSセキュアアクセラレーションを設定する必要がありますか?
オリジンサーバーがSSL証明書を更新した後、Alibaba Cloud CDNのSSL証明書を更新する必要がありますか。
HTTPSとは
HTTPSは、HTTP経由で送信されるデータを暗号化するために使用されるセキュリティプロトコルです。 これにより、データ伝送のセキュリティが確保される。 HTTPはデータを平文で送信し、データを暗号化しません。 HTTPSはHTTPの拡張です。 データのセキュリティを確保するために設計されたHTTPチャネルを提供します。 HTTPSでは、通信プロトコルはTLS (Transport Layer Security) またはSSLに基づいて暗号化されます。 HTTPSは、ユーザーの認証と接続の暗号化に使用されます。 HTTPS は、支払い取引などの、サービスの機密ユーザーデータを保護するために広く使用されています。 Alibaba Cloud CDNコンソールでドメイン名にHTTPSを設定する場合、ドメイン名のSSL証明書を提供する必要があります。 SSL証明書は、すべてのポイントオブプレゼンス (POP) にデプロイする必要があります。 その後、Alibaba Cloud CDNによってコンテンツ配信が高速化されると、HTTPSによるデータ送信が暗号化されます。
HTTP攻撃の一般的なタイプは何ですか?
HTTPSは、コンテンツ配信のセキュリティを向上させるために使用できる方法の1つです。 ネットワークのセキュリティを確保するために、Alibaba Cloud CDNをWeb Application Firewall (WAF) またはAnti-DDoS Proと統合できます。 以下のリストは、一般的なHTTP攻撃を示しています。
SQLインジェクション: データ駆動型アプリケーションを攻撃するために使用されるコードインジェクション手法。 SQLインジェクション中、悪意のあるSQL文がエントリフィールドに挿入され、SQLデータベースで実行されます。
クロスサイトスクリプティング (XSS): webアプリケーションでよく見られるコンピュータセキュリティの脆弱性の一種です。 XSSを使用すると、攻撃者はクライアント側のスクリプトをwebページに挿入できます。 他のユーザがこれらのウェブページを訪問すると、ユーザのアイデンティティおよび許可が、注入されたスクリプトを実行するために利用される。 XSSは通常、ユーザー情報を変更または盗みます。
クロスサイトリクエストフォージェリ (CSRF): ユーザーがフォームを送信した後、攻撃者がリクエストを偽造できるようにします。 その後、攻撃者はユーザーデータを改ざんするか、特定のタスクを実行します。 ユーザーの身元を偽装するために、CSRFはXSSまたは他の攻撃方法に基づいて起動されます。 たとえば、攻撃者は、CSRF攻撃を実行するために使用される悪意のあるリンクを提供します。
HTTPヘッダーの挿入: Webサイトが設計されているテクノロジとフレームワークに関係なく、ブラウザーからWebサイトにアクセスすると、HTTPが適用されます。 データがHTTPを介して送信される場合、ヘッダと応答メッセージの内容との間に空白行が存在する。 この空白行は、2つのキャリッジリターン (CR) と改行 (LF) 文字ペア (0x0D 0A) に相当します。 この空白行は、ヘッダーの終わりとコンテンツの始まりを示しています。 攻撃者はこの脆弱性を悪用してヘッダーに文字を挿入できます。
オープンリダイレクト: フィッシング攻撃に基づいて一般的に開始される攻撃。 攻撃者は、信頼できるエンティティになりすましてユーザーにリンクを送信します。 ユーザーがこのリンクをクリックすると、ユーザーは悪意のあるWebサイトにリダイレクトされ、ユーザーデータが漏洩する可能性があります。 このような攻撃を防ぐには、すべてのリダイレクト操作を認証して、ユーザーが悪意のあるWebサイトにリダイレクトされないようにする必要があります。 この脆弱性に対する解決策の 1 つは、信頼できる URL をホワイトリストに追加することです。 ホワイトリストに含まれていないドメイン名へのリダイレクトは拒否されます。 別の解決策は、リダイレクトトークンを信頼できるURLに追加することです。 ユーザーがURLにリダイレクトされる前に、これらのURLはトークンに基づいて検証されます。
訪問者が自分のサイトにログオンしている場合にのみHTTPSが必要ですか?
いいえ。 すべてのwebページでHTTPSセキュアアクセラレーションを有効にすることを推奨します。 HTTPSセキュアアクセラレーションには、次の利点があります。
webサイトのセキュリティの観点から、一部のwebページに対してのみHTTPSセキュアアクセラレーションが有効になっている場合、JavaScriptやCSSファイルなどのリソースがHTTPまたはデータセキュリティを保証しないCDNサービスを介して読み込まれる可能性があります。 この場合、ユーザ情報が漏洩する可能性がある。 データのセキュリティを確保するために、すべてのwebページでHTTPSセキュアアクセラレーションを有効にすることを推奨します。
ネットワークパフォーマンスの観点から、一部のwebページでのみHTTPSセキュアアクセラレーションが有効になっている場合、リクエストはHTTP URLからHTTPS URLにリダイレクトされるか、HTTPS URLからHTTP URLにリダイレクトされる可能性があります。 これは、コンテンツ検索速度を低下させ、ネットワーク性能を低下させる。
HTTPSリクエストのサポートに関して、ますます多くのブラウザがHTTPSリクエストをサポートしています。 検索エンジンは、HTTPページよりも多くのHTTPSページにインデックスを付けます。
HTTPSの設定に必要な証明書は何ですか。
クライアントからPOPへのリクエストのみを暗号化する場合は、Alibaba Cloud CDNコンソールでSSL証明書を設定します。
HTTPSを介したエンドツーエンドのデータ転送を設定する場合は、Alibaba Cloud CDNコンソールとオリジンサーバーでSSL証明書を設定する必要があります。 詳細については、「HTTPSセキュアアクセラレーションとは」をご参照ください。
HTTPSセキュアアクセラレーションを有効にした後、追加料金が請求されますか?
はい、HTTPSセキュアアクセラレーションには追加料金がかかります。 HTTPSセキュアアクセラレーションを有効にすると、クライアントとクライアントに応答するPOPの間でHTTPS経由でデータが送信されます。 SSLハンドシェイクとコンテンツ復号化の両方に、POPの追加のCPUリソースを消費する計算が必要です。 ただし、オリジンサーバーのリソース消費量は増加しません。 この場合、データは、POPとオリジンサーバとの間でHTTPを介して送信される。
異なるタイプのSSL証明書を購入した場合、追加料金が発生します。 無料の証明書を申請するには、証明書管理サービスコンソールにログインします。 無料のSSL証明書は、ドメイン検証 (DV) 証明書です。 高速化ドメイン名ごとに1つの無料のSSL証明書を申請できます。 無料のSSL証明書の有効期間は1年です。 無料のSSL証明書の有効期限が切れると、システムは自動的に証明書を更新します。 ドメイン名にSSL証明書を設定すると、POPに送信されたHTTPSリクエストの数に基づいてドメイン名が課金されます。
HTTPSリクエストのIPアドレスがIPアドレスホワイトリストまたはブラックリストに属しているか、HTTPSリクエストのヘッダーがUser-Agentホワイトリストまたはブラックリストに属しているため、HTTP 403または404ステータスコードが返された場合にHTTPSリクエストに対して課金されますか?
はい、HTTPSリクエストに対して課金されます。 HTTPSリクエストが特定のルールを満たし、HTTP 403または404ステータスコードが返された場合、HTTPSリクエストは処理済みと見なされます。 この場合、HTTPSリクエストによって消費されたトラフィックに対して課金されます。 ただし、リソースコンテンツが返されないため、消費されるトラフィックの量は少なく、料金は低くなります。
オリジンサーバーでHTTPSが設定されている場合、POPのHTTPSセキュアアクセラレーションを設定する必要がありますか?
はい。オリジンサーバーでHTTPSが設定されている場合でも、POPのHTTPSセキュアアクセラレーションを設定する必要があります。 HTTPSは、クライアントとオリジンサーバー間の通信に適用されます。 Alibaba Cloud CDNが有効化される前に、クライアントはオリジンサーバーからコンテンツを直接取得します。 したがって、コンテンツ配信をサポートするには、オリジンサーバーでHTTPSセキュアアクセラレーションを設定する必要があります。 Alibaba Cloud CDNが有効化されると、クライアントはPOPと対話します。 クライアントとPOP間のHTTPSによる通信を有効にするには、高速化ドメイン名にSSL証明書を設定し、POPにデプロイする必要があります。 SSL証明書の設定方法の詳細については、「SSL証明書の設定」をご参照ください。
HTTPSセキュアアクセラレーションを有効にすると、コンテンツ取得速度が低下し、リソース使用量が増加しますか?
いいえ、HTTPSセキュアアクセラレーションを有効にしても、コンテンツ取得速度は変わらず、リソース消費は増加しません。 オリジンサーバーに対してHTTPSが有効になっている場合、HTTPを介したオリジンサーバーとの通信と比較して、より多くのコンピューティングリソースがオリジンサーバーによって消費されます。 追加のリソース消費は、HTTPSハンドシェイク中の非対称暗号化と復号化によって引き起こされます。 同時実行性が高い場合、かなりのリソースが消費されます。 対称暗号化と復号化には、HTTP通信と同様のリソースが必要です。 したがって、より多くのセッションが再利用され得る。 システムは、オリジンサーバーとのHTTP通信よりも、オリジンサーバーとのHTTPS通信を有効にするために多くの時間を必要とします。
この問題を修正するには、Dynamic Content Delivery Network (DCDN) を使用してエンドツーエンドのHTTPS通信を有効にします。 DCDNは、SSLハンドシェイクによって消費される平均時間を短縮します。 同時実行性が高い場合、オリジンサーバーのセッション再利用率は大幅に増加します。 これにより、HTTPSによるコンテンツ配信の高速化を可能にするために消費されるリソースが少なくなります。
静的コンテンツの配信を高速化するために、POPは静的コンテンツをキャッシュします。 ハンドシェイクによって消費される時間の量は増加するが、データ伝送によって消費される時間の量は減少する。 この場合、コンテンツ配信のための総時間が減少する。 静的コンテンツはPOPにキャッシュされ、クライアントに直接配信されるため、静的コンテンツのリクエストは配信元サーバーにリダイレクトされません。 これにより、オリジンサーバーのリソース使用量が最小限に抑えられます。
動的コンテンツの配信を高速化するために、DCDNは、インターネット経由のコンテンツ配信と比較して、より柔軟で最適なルーティングソリューションを提供します。 動的コンテンツのリクエストは、オリジンサーバーにリダイレクトする必要があります。 DCDNを使用してオリジンサーバーからのコンテンツ取得を高速化すると、セッションの再利用率が上がり、全体的な伝送速度が向上します。 動的コンテンツのリクエストは、オリジンサーバーにリダイレクトする必要があります。 したがって、非対称暗号化および復号化が必要なステップである。 これにより、より多くのオリジンリソースが消費されます。 DCDNを使用して、エンドツーエンドのHTTPS通信を有効にし、resouceの使用量を最小限に抑えることができます。
SSL証明書の設定方法を教えてください。
Alibaba Cloud CDNコンソールでSSL証明書を設定できます。 詳細については、「SSL証明書の設定」をご参照ください。
証明書をアップロードした後、SSL証明書の重複メッセージが表示されるとどうすればよいですか。
証明書が既に存在することを求めるプロンプトが表示された場合は、証明書名を変更して再試行できます。 これは、カスタム証明書のアップロード (証明書 + プライベートキー) パラメーターを設定し、証明書をアップロードした後に適用されます。
複数のサードパーティをアップロードする方法。crt証明書?
中間CAによって発行される証明書ファイルには、複数の証明書が含まれます。 HTTPSを設定するときは、アップロードする前に中間証明書とサーバー証明書を組み合わせて完全な証明書にする必要があります。
テキストエディターを使用して、すべての *.PEM証明書ファイルを開きます。 証明書を組み合わせる場合、最初の証明書はサーバー証明書である必要があり、中間証明書はサーバー証明書に従います。 証明書間にスペース文字を追加しないでください。 証明書を発行するCAはまた、命令を提供し得る。 指示に注意してください。
次の図は、完全な証明書の例を示しています。
証明書形式が無効であるとシステムからプロンプトが表示された場合に、SSL証明書形式を変換する方法を教えてください。
Alibaba Cloud CDNは、プライバシー強化メール (PEM) 形式のSSL証明書のみをサポートしています。 証明書のアップロードの要件は、認証局によって異なります。 詳細については、「証明書の形式」をご参照ください。 証明書がPEM形式でない場合は、アップロードする前に証明書形式を変換してください。 詳細については、「証明書形式の変換」をご参照ください。
オリジンサーバーがSSL証明書を更新した後、Alibaba Cloud CDNのSSL証明書を更新する必要がありますか。
いいえ。 オリジンサーバーの更新されたSSL証明書は、Alibaba Cloud CDNのSSL証明書には影響しません。 Alibaba Cloud CDNでSSL証明書を更新する必要があるのは、SSL証明書の有効期限が切れた場合、または有効期限が切れそうになった場合のみです。 詳細については、「SSL証明書の設定」をご参照ください。
HSTSを設定するときにサブドメインを含めるをオンにすると、サブドメインのHSTSを有効にする必要がありますか?
いいえ、サブドメインのHSTSを有効にする必要はありません。 サブドメインを含めるをオンにすると、すべてのサブドメインに対してHSTSが有効になります。 各サブドメインがHTTPSをサポートしていることを確認してください。 それ以外の場合、サブドメインにアクセスできません。
HTTPSセキュアアクセラレーションを有効にした後、クライアントがHTTP経由でPOPにアクセスするのはなぜですか。
クライアントは、クライアント設定に基づいてHTTPまたはHTTPS経由でPOPにアクセスできます。 クライアントがHTTPS経由でPOPにアクセスする場合は、Alibaba Cloud CDNコンソールでURLリダイレクト機能を設定できます。 詳細については、「URLリダイレクトの設定」をご参照ください。