すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:HTTPSセキュアアクセラレーションとは

    ドキュメントセンター

    Edge Security Acceleration:HTTPSセキュアアクセラレーションとは

    最終更新日:Oct 21, 2024

    HTTPSは、HTTPに基づくTLS/SSLプロトコルを使用してデータを暗号化します。 これにより、データが第三者によって監視、傍受、または改ざんされるのを防ぎます。 DCDNコンソールでSSL証明書を設定し、クライアントと DCDN間のリクエストを暗号化して、データセキュリティを確保できます。

    メリット

    • HTTPSセキュアアクセラレーションは、盗聴、改ざん、なりすまし攻撃、および中間者 (MITM) 攻撃から通信を保護します。 この機能は、データ送信中にセッションIDやCookieなどの機密情報を暗号化して、機密情報の漏洩のリスクを最小限に抑えます。

    • HTTPSは新しい標準です。 HTTPを使用すると、Webサイトがセキュリティリスクにさらされる可能性があり、Webサイトへの訪問者はWebサイトが安全でないことを確認されます。 これは、ユーザ体験を損なう。

    • 主流の検索エンジンは、HTTPS対応Webサイトにより高い重みを割り当てます。 WebサイトのHTTPSを有効にすると、Webサイトは検索エンジンの結果でより高いランキングを達成できます。

    SSL/TLS証明書

    SSLは、TCP/IPプロトコルと様々なアプリケーション層プロトコルとの間に位置する。 SSLを使用すると、ブラウザなどのクライアントは、接続しているサーバーの信頼性と整合性を検証し、暗号化を使用して情報を交換できます。

    Internet Engineering Task Force (IETF) はSSLを標準化し、名前をTransport Layer Security (TLS) に変更しました。 したがって、プロトコルはSSL/TLSと呼ばれます。

    SSL証明書は通信にSSLプロトコルを使用します。 SSL証明書は、認証機関 (CA) がWebサイトに発行して、WebサイトのIDを認証し、送信用のデータを暗号化する資格情報です。

    課金

    HTTPSセキュアアクセラレーションは付加価値のある機能です。 HTTPSを有効にすると、HTTPSリクエストの数に基づいて課金されます。 詳細については、「HTTPS および HTTP リクエストに対する課金」をご参照ください。

    説明

    HTTPSリクエストは個別に課金され、料金はDynamic Content Delivery Network (DCDN) のデータ転送プランによって相殺することはできません。 Alibaba Cloudアカウントに十分な残高があることを確認してください。 そうしないと、料金滞納が発生し、サービス停止が発生する可能性があります。

    HTTPSによるエンドツーエンドのデータ転送

    次の図は、クライアントがサーバーへのリクエストを開始したときのHTTPS暗号化の仕組みを示しています。

    image

    1. DCDNコンソールでドメイン名のSSL証明書を設定し、クライアントとPOP (ポイントオブプレゼンス) 間のHTTPS接続を許可します。

      説明

      HTTPSセキュアアクセラレーションは、HTTPSリクエストの数に基づいて課金される付加価値機能です。 詳細については、「HTTPSおよびHTTPリクエストの課金」をご参照ください。

    2. オリジンサーバーでSSL証明書を設定し、HTTPS経由でオリジンフェッチを設定します。 詳細については、「静的オリジンプロトコルポリシーの設定」をご参照ください。

      説明

      HTTPSを介したエンドツーエンドのデータ転送を実装する場合は、HTTPSを介したオリジンフェッチを設定する前に、オリジンサーバーがHTTPSをサポートしていることを確認してください。 詳細については、「静的オリジンプロトコルポリシーの設定」をご参照ください。

    クライアントとPOP間のHTTPSセキュアアクセラレーションの

    手順1: 高速化ドメイン名の証明書の準備

    PEM 形式の証明書のみがサポートされます。 他の形式の証明書をPEM形式に変換できます。 詳細については、「証明書形式の変換」をご参照ください。

    個別のテスト証明書 (無料) を申請するか、証明書管理サービスコンソールで証明書を購入できます。

    サードパーティのCAから証明書を申請することもできます。 発行された証明書は、証明書形式の要件を満たす必要があります。 詳細については、「証明書の形式」をご参照ください。

    ステップ2: HTTPSセキュアアクセラレーションの有効化

    1. 必須です。 SSL証明書を準備した後、HTTPSセキュアアクセラレーションを有効にする前に、アクセラレーションドメイン名の証明書を設定します。 詳細については、「SSL 証明書の設定」をご参照ください。

    1. オプションです。 ビジネス要件に基づいて、より多くの機能を設定します。

      カテゴリ

      機能

      説明

      クライアントアクセスプロトコルの設定

      強制リダイレクトの設定

      301リダイレクトを使用して、クライアントからPOPへのHTTPリクエストをHTTPSにリダイレクトしたり、HTTPSをHTTPにリダイレクトしたりできます。

      HSTS の設定

      ブラウザなどのクライアントを強制的にHTTPS経由でPOPに接続するようにHSTSを設定できます。 これにより、クッキーハイジャックのリスクが軽減されます。

      プロトコルバージョンの指定

      HTTP/2の設定

      もともとHTTP/2.0と名付けられたHTTP/2は、HTTP/1.1以来のHTTPの最初の新しいバージョンです。 HTTP/2は、バイナリフレーミング、多重化、およびヘッダー圧縮をサポートします。 このプロトコルは、webパフォーマンスを改善し、ネットワーク遅延を削減します。

      TLSバージョンと暗号スイートの設定

      TLSバージョンを設定すると、TLSバージョンを使用するクライアントのみがPOPとの間でリクエストを送受信できます。 これは、通信リンクのセキュリティ要件を満たす。

      SSL証明書の検証を高速化

      OCSPステープルの設定

      POPは証明書検証結果をキャッシュし、クライアントがCAで証明書を検証する必要なしに結果をクライアントに送信します。 これにより、検証時間が短縮される。