HTTPS を構成する - CDN - Alibaba Cloud ドキュメントセンター

HTTPS は、HTTP ベースの Secure Sockets Layer (SSL)/Transport Layer Security (TLS) プロトコルを使用してデータを暗号化します。これにより、第三者によるデータの監視、傍受、改ざんを防ぎます。 CDN コンソールで SSL/TLS 証明書を構成して、クライアントと CDN 間のリクエストを暗号化し、データ転送のセキュリティを確保できます。

HTTPS のメリット

HTTPS セキュアアクセラレーションは、通信を盗聴、改ざん、偽装攻撃、ハイジャックから保護します。 HTTPS は、セッション ID や Cookie などの機密情報を転送中に暗号化し、機密情報漏えいのリスクを最小限に抑えます。
HTTPS は新しい標準です。 HTTP を使用すると、Web サイトがセキュリティリスクにさらされる可能性があり、Web サイトにアクセスするユーザーには、Web サイトが安全ではないという警告が表示されます。これはユーザーエクスペリエンスを損ないます。
主要な検索エンジンは、HTTPS 対応の Web サイトにより高い重みを割り当てます。 Web サイトで HTTPS を有効にすると、Web サイトは検索エンジンの結果でより高いランキングを獲得できます。

SSL/TLS 証明書

SSL は、TCP/IP プロトコルとさまざまなアプリケーション層プロトコルの間に位置します。ブラウザなどのクライアントは、SSL を使用してサーバーとクライアント間の接続の信頼性と整合性を検証し、転送のためにデータを暗号化できます。

Internet Engineering Task Force (IETF) は SSL を標準化し、名前を TLS に変更しました。したがって、このプロトコルは SSL/TLS と呼ばれます。

SSL/TLS 証明書は、通信に SSL プロトコルを使用します。 SSL/TLS 証明書は、認証局 (CA) が Web サイトに発行する資格情報であり、Web サイトの ID を認証し、転送のためにデータを暗号化します。

HTTPS を介したエンドツーエンドのデータ転送

次の図は、クライアントがサーバーへのリクエストを開始したときの HTTPS 暗号化の仕組みを示しています。

CDN コンソールでドメイン名に SSL/TLS 証明書を構成して、クライアントと CDN のプレゼンスポイント (POP) 間の HTTPS 接続を許可します。。
説明
HTTPS 構成は付加価値サービスです。基本サービスに加えて、HTTPS リクエストに対して課金されます。詳細については、「静的コンテンツの HTTPS リクエストの課金」をご参照ください。
オリジンサーバーで SSL/TLS 証明書を構成し、CDN POP のオリジンプロトコルを構成して、HTTPS 暗号化を実装します。詳細については、「オリジンプロトコルポリシーを構成する」をご参照ください。
説明
HTTPS を介したエンドツーエンドのデータ転送を実装するには、HTTPS 経由のオリジンフェッチを構成する前に、オリジンサーバーが HTTPS をサポートしていることを確認してください。詳細については、「オリジンプロトコルポリシーを構成する」をご参照ください。

クライアントと CDN POP 間の SSL/TLS 証明書を構成する

ステップ 1: 高速化ドメイン名の証明書を準備する

PEM 形式の証明書のみがサポートされています。他の形式の証明書を PEM 形式に変換できます。詳細については、「証明書の形式」をご参照ください。
無料の個人テスト証明書を申請するか、Certificate Management Service コンソールで証明書を購入できます。
サードパーティの CA から証明書を申請することもできます。発行された証明書は、証明書の形式要件を満たしている必要があります。詳細については、「証明書の形式」をご参照ください。

ステップ 2: SSL/TLS 証明書を構成する

必須。 SSL/TLS 証明書を準備した後、HTTPS セキュアアクセラレーションを有効にする前に、高速化ドメイン名の証明書を構成します。詳細については、「SSL 証明書を構成する」をご参照ください。

オプション。 ビジネス要件に基づいて、その他の機能を構成します。

カテゴリ	機能	説明
クライアントアクセスプロトコルを構成する	URL リダイレクトを構成する	301 リダイレクトを使用して、クライアントからの HTTP リクエストを CDN POP への HTTPS にリダイレクトしたり、HTTPS を HTTP にリダイレクトしたりできます。
クライアントアクセスプロトコルを構成する	HSTS を構成する	HSTS を構成して、クライアントが HTTPS 経由で CDN POP に接続するように強制できます。これにより、初回アクセス時のハイジャックのリスクが軽減されます。
プロトコルバージョンを指定する	HTTP/2 を構成する	HTTP/2 (元々は HTTP/2.0 という名前) は、HTTP/1.1 以降の HTTP の最初の新しいバージョンです。 HTTP/2 は、バイナリフレーミング、多重化、ヘッダー圧縮をサポートしています。このプロトコルは Web パフォーマンスを向上させ、ネットワーク遅延を削減します。
プロトコルバージョンを指定する	TLS バージョンと暗号スイートを構成する	TLS バージョンを設定した後、その TLS バージョンを使用するクライアントのみが CDN POP にリクエストを送信し、リクエストを受信できます。これは、通信リンクのセキュリティ要件を満たしています。
SSL/TLS 証明書の検証を高速化する	OCSP ステープリングを構成する	CDN POP は証明書の検証結果をキャッシュし、クライアントが CA で証明書を検証する必要なく、結果をクライアントに送信します。これにより、検証時間が短縮されます。

よくある質問

詳細については、「一般的な HTTP 攻撃の種類」をご参照ください。
詳細については、「訪問者が自分のサイトにログインする場合にのみ HTTPS が必要ですか?」をご参照ください。
詳細については、「HTTPS を構成するにはどのような証明書が必要ですか?」をご参照ください。
詳細については、「HTTPS セキュアアクセラレーションを有効にすると、追加料金が発生しますか?」をご参照ください。
詳細については、「HTTPS リクエストの IP アドレスが IP アドレスのホワイトリストまたはブラックリストに属しているか、HTTPS リクエストのヘッダーが User-Agent のホワイトリストまたはブラックリストに属しているために HTTP 403 または 404 状態コードが返された場合、HTTPS リクエストに対して課金されますか?」をご参照ください。
詳細については、「オリジンサーバーで HTTPS が構成されている場合、POP の HTTPS セキュアアクセラレーションを構成する必要がありますか?」をご参照ください。
詳細については、「HTTPS セキュアアクセラレーションを有効にすると、コンテンツの取得速度が低下し、リソース使用量が増加しますか?」をご参照ください。