ApsaraVideo Live は、HTTPS セキュアアクセラレーションと強制リダイレクトをサポートしています。 このトピックでは、セキュアアクセラレーションの仕組み、利点、使用方法、および注意事項について説明します。
背景
Hypertext Transfer Protocol (HTTP) はコンテンツをプレーンテキストで送信し、データを暗号化しないため、伝送中にデータが容易に傍受されたり、盗聴されたりする可能性があります。
概要
ApsaraVideo Live は、HTTPS セキュアアクセラレーションと強制リダイレクトをサポートしています。 強制リダイレクトを使用するには、まず HTTPS 証明書を設定する必要があります。
HTTPS:
Hypertext Transfer Protocol Secure (HTTPS) は、HTTP のセキュアなバージョンです。 コンテンツをプレーンテキストで送信する HTTP とは異なり、HTTPS はセキュアソケットレイヤー (SSL) /トランスポート層セキュリティ (TLS) プロトコルを使用してデータをカプセル化します。 HTTPS のセキュリティは SSL/TLS に基づいています。
HTTPS は、ID 検証と暗号化通信を可能にします。 World Wide Web 上でのセキュアな通信に広く利用されています。 Electronic Frontier Foundation (EFF) の 2017 年のレポートによると、現在、全世界のウェブトラフィックの半数以上が HTTPS を使用して暗号化されています。
-
強制リダイレクト:
この機能は、クライアントリクエストを HTTP または HTTPS 経由で POP (Point of Presence) にリダイレクトします。
加速ドメイン名に対して HTTPS セキュアアクセラレーションを有効にすると、カスタム設定を構成してエンドユーザーのリクエストを強制的にリダイレクトできます。 たとえば、HTTPS の有効化 した後、エンドユーザーが HTTP リクエストを開始すると、サーバーは次の例に示すように HTTPS への 301 リダイレクトを返します。
$ curl http://xxx xxx xxx/' -i HTTP/1.1 301 Moved Permanently Server: Tengine Date: Mon, 03 Jun 2019 13:26:01 GMT Content-Type: text/html Content-Length: 278 Connection: keep-alive Location: https://xxx xxx xxx/ Via: cache2.cn201[,0] Timing-Allow-Origin: * EagleId: 2a786b0215595683612635433e <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html> <head><title>301 Moved Permanently</title></head> <body bgcolor="white"> <h1>301 Moved Permanently</h1> <p>The requested resource has been assigned a new permanent URI.</p> <hr/>Powered by Tengine</body> </html>
仕組み
ApsaraVideo Live コンソールで HTTPS を有効にすると、クライアントと ApsaraVideo Live ノード間のリクエストは HTTPS を使用して暗号化されます。 ApsaraVideo Live ノードがオリジンサーバーからリソースを取得してクライアントに返す際、オリジンサーバーへの接続に使用されるプロトコルは、オリジンサーバーの設定に依存します。 エンドツーエンドの HTTPS 暗号化を実現するために、オリジンサーバーで HTTPS を有効にすることを推奨します。
クライアントが HTTPS リクエストを開始します。
サーバーは公開鍵と秘密鍵を生成します。 キーペアはご自身で作成することも、専門機関から取得することもできます。
サーバーは公開鍵証明書をクライアントに送信します。
クライアントは証明書を検証します。
証明書が有効な場合、クライアントは乱数 (キー) を生成します。 次に、クライアントは公開鍵を使用して乱数を暗号化し、サーバーに送信します。
証明書が無効な場合、SSL ハンドシェイクは失敗します。
説明証明書の有効性の検証には、以下の項目が含まれます。
証明書の有効期限が切れていないこと。
サーバー証明書を発行した認証局 (CA) が信頼できること。
発行者の公開鍵でサーバー証明書のデジタル署名を正しく復号化できること。
サーバー証明書のドメイン名がサーバーの実際のドメイン名と一致すること。
サーバーは秘密鍵を使用してメッセージを復号化し、乱数 (キー) を取得します。
サーバーはこのキーを使用して、伝送するデータを暗号化します。
クライアントはこのキーを使用して、サーバーから送信された暗号化データを復号化し、コンテンツを読み取ります。
利点
セキュアな伝送:HTTPS はデータ伝送を保護し、プレーンテキストの HTTP 通信に伴う盗聴、改ざん、なりすまし、ハイジャックなどのリスクを効果的に防ぎます。
情報暗号化:重要な情報はデータ伝送中に暗号化されます。 これにより、セッション ID や Cookie が窃取された場合に発生する可能性のある機密情報の漏洩を防ぎます。
データ完全性:伝送中にデータ完全性を検証することで、DNS ハイジャックやコンテンツ改ざんなどの中間者攻撃 (MITM) を防ぎます。
業界標準:主要なブラウザは HTTP を安全でない接続として警告表示するため、ユーザーエクスペリエンスとアクセスセキュリティに影響を与えます。 HTTPS は業界標準です。 HTTP/2 をサポートし、検索エンジンのランキングを向上させ、ユーザーエクスペリエンスの向上にもつながります。
セキュリティとユーザーエクスペリエンスを向上させるため、アクセスプロトコルを HTTPS にアップグレードすることを強く推奨します。
使用方法
HTTPS セキュアアクセラレーション
HTTPS 経由でリソースにアクセスし、セキュアアクセラレーションを有効にするには、HTTPS 証明書を設定する必要があります。 証明書の詳細については、「証明書の形式」をご参照ください。
HTTPS セキュアアクセラレーションは、ApsaraVideo Live コンソールで設定するか、API を呼び出して設定できます。
コンソールを使用する場合、「HTTPS セキュアアクセラレーションの設定」をご参照ください。
API を使用する場合、SetLiveDomainCertificate API を呼び出してドメイン名証明書を設定します。
関連 API:
API | 説明 | リファレンス |
SetLiveDomainCertificate | ドメイン名の証明書機能を有効または無効にし、証明書情報を変更します。 | |
DescribeLiveCertificateList | 証明書リストを照会します。 | |
DescribeLiveCertificateDetail | 証明書の詳細を照会します。 | |
BatchDeleteLiveDomainConfigs | 複数のドメイン名の設定を一括で削除します。 |
強制リダイレクト
強制リダイレクトを設定する前に、HTTPS 証明書が設定されていることを確認してください。
強制リダイレクトは、ApsaraVideo Live コンソールで設定するか、API を呼び出して設定できます。
コンソールを使用する場合、「強制リダイレクトの設定」をご参照ください。
API を使用する場合、BatchSetLiveDomainConfigs API を呼び出して強制リダイレクトを設定します。
関連 API:
API | 説明 | リファレンス |
BatchSetLiveDomainConfigs | 複数のドメイン名の一括設定をします。
|
注意事項
設定 | 説明 |
HTTPS の[無効化]と[有効化] |
|
証明書/秘密鍵のアップロード |
|
証明書の表示 | 証明書は表示できます。 ただし、秘密鍵には機密情報が含まれているため表示できません。 証明書と鍵の情報は安全に保管してください。 |
証明書の変更または編集 | 証明書は変更または編集できます。 更新された証明書が有効になるまで 1 時間かかることに注意してください。 慎重に操作してください。 |