よくある質問 - - Alibaba Cloud ドキュメントセンター

HTTPS セキュアアクセラレーションには追加料金が発生しますか。
HTTPS セキュアアクセラレーションを有効にすると、アクセス速度が低下し、リソース使用量が増加しますか。
Web サイトにログインするときにのみ HTTPS を有効にするべきですか。
一般的な HTTP 攻撃にはどのようなものがありますか。

HTTPS セキュアアクセラレーションには追加料金が発生しますか。

はい。 HTTPS セキュアアクセラレーションは、クライアントから対象のエッジノードへのリンクに対して有効になります。 SSL ハンドシェイクおよびコンテンツの暗号化と復号化にはすべて計算が必要であり、CDN サーバーはより多くの CPU リソースを消費します。ただし、対象のエッジノードからクライアントへのリンクが引き続き HTTP を使用するため、配信元サーバーで消費されるリソースの数は変更されません。

証明書を購入すると、追加料金が発生します。

注 Alibaba Cloud CDN コンソールで無料の証明書を申請できます。 Alibaba Cloud CDN が提供する無料の証明書は DV 認定レベルです。アクセラレーションドメインにつき 1 つの無料の証明書を申請できます。無料の証明書の有効期間は 1 年です。有効期限が近づくと、システムが無料の証明書を自動更新します。
アクセラレーションドメインの HTTPS 証明書を設定後、このドメインの CDN ノード宛ての静的 HTTPS 要求 10,000 件ごとに 0.008 USD が課金されます。

HTTPS セキュアアクセラレーションを有効にすると、アクセス速度が低下し、リソース使用量が増加しますか。

いいえ、HTTPS セキュアアクセラレーションを有効化後もアクセス速度は全体的に同じままで、使用されるリソースの数も増加しません。ただし、HTTPS 有効後初めて Web サイトにアクセスする際は、アクセス速度が 10％低下する場合があります。これは、1 回目の SSL (Secure Sockets Layer) 接続は時間がかかるためです。 HTTPS 接続が確立されると、アクセス速度は通常に戻ります。

Web サイトにログインするときにのみ HTTPS を有効にするべきですか。

Web サイトへのログイン時のみの HTTPS の有効化は推奨していません。Web サイトのセキュリティおよびネットワークパフォーマンス全体に悪影響を与えるためです。特に、Web サイトのセキュリティに関して言うと、一部の Web ページのみで HTTPS が有効になっている場合、HTTPS または安全でない CDN サービスを使用しているときにリソースがリークする可能性があります。次に、ネットワークパフォーマンスの観点から、一部の Web ページでのみ HTTPS を有効にすると、サーバーが HTTPS および HTTP から継続的に切り替える必要があり、アクセス速度が低下する可能性があります。

一般的な HTTP 攻撃にはどのようなものがありますか。

HTTPS は、安全なアクセスを保証する多くの方法の 1 つにすぎません。ネットワーク全体のセキュリティを確保するには、Web アプリケーションファイアウォール (WAF) を展開し、分散型サービス拒否 (DDoS) 攻撃などの脅威から保護する必要があります。一般的な HTTPS 攻撃は次のとおりです。

SQL インジェクション
SQL インジェクションはデータ駆動型アプリケーションを攻撃するために使用されるコードインジェクション手法で、SQL データベースで実行する悪質な SQL ステートメントが入力フィールドに挿入されます。結果、SQL ステートメントは開発者の期待どおりに実行されません。
クロスサイトスクリプティング (XSS)
クロスサイトスクリプティング (XSS) は、通常 Web アプリケーションに見られるコンピューターセキュリティの脆弱性の一種です。攻撃者は、XSS を使用してクライアント側のスクリプトを Web ページに挿入することができます。他のユーザーがこれらの Web ページを閲覧すると、そのユーザーの ID とアクセス権限が悪用され、挿入されたスクリプトが実行されます。
クロスサイトリクエストフォージェリ (CSRF)
クロスサイトリクエストフォージェリ (CSRF) を使用すると、攻撃者はユーザーがフォームを送信して、ユーザーデータの改ざんや特定のタスクの実行をするリクエストを偽造できます。ユーザーの ID をスプーフィングするために、CSRF は多くの場合 XSS で起動されるか、CSRF が埋め込まれているリンクをクリックするようユーザーを騙すなどの手段を使用して起動されます。
HTTP ヘッダーインジェクション
ブラウザーを使用して Web サイトにアクセスすると、この Web サイトの設計に使用された技術とフレームワークに関係なく、HTTP が使用されます。 HTTP では、応答メッセージのヘッダーとコンテンツの間に空白行があります。 2 つのCRLF (0x0D 0A) に相当する、この空白行は、ヘッダーの終わりとコンテンツの始まりを示します。攻撃者はこの脆弱性を悪用して、ヘッダーに文字を挿入できます。
オープンリダイレクト
通常、オープンリダイレクトはフィッシング攻撃を使用して起動されます。攻撃者は、信頼できるエンティティになりすましてユーザーにリンクを送信します。ユーザーがこのリンクをクリックすると悪質な Web サイトにリダイレクトされ、ユーザーデータが盗まれます。ユーザーが悪質な Web サイトにリダイレクトされないよう、すべてのリダイレクト操作の認証を要求することを推奨します。この脆弱性に対する解決策の 1 つは、信頼できる URL をホワイトリストに追加することです。この場合、ホワイトリストに含まれていないドメインへのリダイレクトは拒否されます。もう 1 つの解決策は、信頼できる URL にリダイレクトトークンを追加することです。ユーザーが URL にリダイレクトされる際、このトークンに基づいてこれらの URL を検証します。