Alibaba Cloud CDNコンソールでHTTPSを設定し、安全な高速化を可能にする - CDN

HTTPSは、HTTPに基づくTLS/SSLプロトコルを使用してデータを暗号化します。これにより、データが第三者によって監視、傍受、または改ざんされるのを防ぎます。 Alibaba Cloud CDN コンソールでSSL証明書を設定し、クライアントとAlibaba Cloud CDN 間のリクエストを暗号化して、データセキュリティを確保できます。

メリット

HTTPSセキュアアクセラレーションは、盗聴、改ざん、なりすまし攻撃、および中間者 (MITM) 攻撃から通信を保護します。 HTTPSは、セッションIDやCookieなど、転送中の重要な情報を暗号化します。これにより、機密情報の漏洩のリスクが最小限に抑えられます。
HTTPSは新しい標準です。 HTTPを使用すると、Webサイトがセキュリティリスクにさらされる可能性があり、Webサイトにアクセスしたユーザーには、Webサイトが安全でないことが求められます。これは、ユーザ体験を損なう。
主流の検索エンジンは、HTTPS対応Webサイトにより高い重みを割り当てます。 WebサイトでHTTPSを有効にすると、Webサイトは検索エンジンの結果でより高いランキングを達成できます。

SSL/TLS証明書

SSLは、TCP/IPプロトコルと様々なアプリケーション層プロトコルとの間に位置する。ブラウザなどのクライアントは、SSLを使用して、サーバーとクライアント間の接続の信頼性と整合性を検証し、送信用のデータを暗号化できます。

Internet Engineering Task Force (IETF) はSSLを標準化し、名前をTransport Layer Security (TLS) に変更しました。したがって、プロトコルはSSL/TLSと呼ばれます。

SSL証明書は通信にSSLプロトコルを使用します。 SSL証明書は、認証機関 (CA) がWebサイトに発行して、WebサイトのIDを認証し、送信用のデータを暗号化する資格情報です。

HTTPSによるエンドツーエンドのデータ転送

次の図は、クライアントがサーバーへのリクエストを開始したときのHTTPS暗号化の仕組みを示しています。

Alibaba Cloud CDN コンソールでSSL証明書を設定し、クライアントとPOP (ポイントオブプレゼンス) 間のHTTPS接続を許可します。
説明
HTTPSセキュアアクセラレーションは付加価値サービスです。 HTTPSセキュアアクセラレーションを有効にすると、基本サービスとHTTPSリクエストに対して課金されます。詳細については、「静的コンテンツに対するHTTPSリクエストの課金」をご参照ください。
オリジンサーバーでSSL証明書を設定し、HTTPS経由でオリジンフェッチを設定します。詳細については、「オリジンプロトコルポリシーの設定」をご参照ください。
説明
HTTPSを介したエンドツーエンドのデータ転送を実装する場合は、HTTPSを介したオリジンフェッチを設定する前に、オリジンサーバーがHTTPSをサポートしていることを確認してください。詳細については、「オリジンプロトコルポリシーの設定」をご参照ください。

クライアントとPOP間のHTTPSセキュアアクセラレーションの

手順1: 高速化ドメイン名の証明書の準備

PEM 形式の証明書のみがサポートされます。他の形式の証明書をPEM形式に変換できます。詳細については、「証明書形式の変換」をご参照ください。

無料の証明書を申請するか、証明書管理サービスコンソールで高度な証明書を購入できます。

サードパーティのCAから証明書を申請することもできます。発行された証明書は、証明書形式の要件を満たす必要があります。詳細については、「証明書の形式」をご参照ください。

ステップ2: HTTPSセキュアアクセラレーションの有効化

必須です。 SSL証明書を準備した後、HTTPSセキュアアクセラレーションを有効にする前に、アクセラレーションドメイン名の証明書を設定します。詳細については、「SSL 証明書の設定」をご参照ください。

オプションです。 ビジネス要件に基づいて、より多くの機能を設定します。

カテゴリ	機能	説明
クライアントアクセスプロトコルの設定	URLリダイレクトの設定	301リダイレクトを使用して、クライアントからPOPへのHTTPリクエストをHTTPSにリダイレクトしたり、HTTPSをHTTPにリダイレクトしたりできます。
クライアントアクセスプロトコルの設定	HSTS の設定	ブラウザなどのクライアントを強制的にHTTPS経由でPOPに接続するようにHSTSを設定できます。これにより、クッキーハイジャックのリスクが軽減されます。
プロトコルバージョンの指定	HTTP/2の設定	もともとHTTP/2.0と名付けられたHTTP/2は、HTTP/1.1以来のHTTPの最初の新しいバージョンです。 HTTP/2は、多重化とヘッダー圧縮をサポートするバイナリプロトコルです。このプロトコルは、webパフォーマンスを改善し、ネットワーク遅延を削減します。
プロトコルバージョンの指定	TLSバージョンと暗号スイートの設定	TLSバージョンを設定すると、特定のバージョンのTLSを使用するクライアントのみがPOPとの間でリクエストを送受信できます。これは、通信リンクのセキュリティ要件を満たす。
SSL証明書の検証を高速化	OCSPステープルの設定	POPは証明書検証結果をキャッシュし、クライアントがCAで証明書を検証する必要なしに結果をクライアントに送信します。これにより、検証時間が短縮される。

FAQ

HTTP攻撃の一般的なタイプは何ですか?
訪問者が自分のサイトにログオンしている場合にのみHTTPSは必要ですか?
HTTPSの設定に必要な証明書は何ですか。
HTTPSセキュアアクセラレーションを有効にした後に追加料金が発生するは?
HTTPSリクエストのIPアドレスがIPアドレスホワイトリストまたはブラックリストに属しているか、HTTPSリクエストのヘッダーがUser-Agentホワイトリストまたはブラックリストに属しているため、HTTP 403または404ステータスコードが返されたときにHTTPSリクエストに対して課金されますか? HTTPSリクエストのIPアドレスがIPアドレスホワイトリストまたはブラックリストに属しているか、HTTPSリクエストのヘッダーがUser-Agentホワイトリストまたはブラックリストに属しているため、HTTP 403または404ステータスコードが返された場合にHTTPSリクエストに対して課金されますか?
HTTPSがオリジンサーバーで設定されている場合、POPのHTTPSセキュアアクセラレーションを設定する必要がありますか?
HTTPSセキュアアクセラレーションを有効にすると、コンテンツ取得速度が低下し、リソース使用量が増加しますか?