HTTPS を介した OSS へのアクセス - Object Storage Service - Alibaba Cloud ドキュメントセンター

HTTP を介して Object Storage Service (OSS) リソースにアクセスすることは、データをプレーンテキストで送信するため安全ではありません。この方法は、データの傍受や中間者攻撃などの重大なセキュリティリスクにデータをさらし、データ保護およびコンプライアンス要件 1 を満たさない可能性があります。データを保護するには、SSL 証明書を構成して HTTPS を有効にします。HTTPS は転送中のデータを暗号化し、データの機密性と完全性を保証します。

仕組み

OSS で HTTPS を有効にするには、特定のドメイン名に対して有効な SSL 証明書を正しい場所に構成する必要があります。HTTPS は TLS/SSL プロトコルを使用して、HTTP データパケットをエンドツーエンドで暗します。また、証明書チェーンを使用してサーバーの ID を検証し、送信中のデータの機密性、完全性、認証を保証します。

SSL 証明書を構成する場所は、使用するドメイン名のタイプによって異なります。具体的な構成方法は次のとおりです。

バケットドメイン名
たとえば、example.oss-cn-hangzhou.aliyuncs.com です。Alibaba Cloud は、これらのドメイン名の SSL 証明書を管理および保守します。これらはネイティブで HTTPS をサポートしているため、構成は不要です。https:// プレフィックスを使用するだけでセキュアなアクセスを実現でき、証明書管理が簡素化されます。
カスタムドメイン名
カスタムドメイン名を使用して OSS にアクセスする場合、SSL 証明書の構成場所は CDN アクセラレーションが有効になっているかどうかによって異なります。この設計により、証明書の構成がトラフィックパスと一致することが保証されます。
- CDN が有効でない場合: トラフィックは OSS に直接アクセスします。OSS コンソールで、マッピングされたカスタムドメイン名の証明書のホスティングを構成する必要があります。詳細については、「OSS で証明書のホスティングを構成して HTTPS アクセスを有効にする」をご参照ください。
- CDN が有効な場合: トラフィックは CDN の POP (Point of Presence) を経由してから OSS に転送されます。CDN コンソールで、CDN でアクセラレーションされたドメイン名に対して HTTPS 証明書を構成する必要があります。詳細については、「CDN で HTTPS 証明書を構成して HTTPS アクセスを有効にする」をご参照ください。
  CDN アクセラレーションが有効かどうかを判断する方法
  構成エラーを避けるために、まずカスタムドメイン名で CDN アクセラレーションが有効になっているかどうかを判断します。これにより、SSL 証明書を正しい場所に構成することができます。次のいずれかの方法を使用します。
  - 方法 1: OSS コンソールを使用する
    [バケット] ページに移動し、ターゲットバケットをクリックし、左側のナビゲーションウィンドウで [バケット設定] > [ドメイン] をクリックします。ドメインリストには、バケットに構成されているすべての CDN アクセラレーションされたドメイン名が表示されます。これらのドメインの HTTPS 証明書は、Alibaba Cloud CDN コンソールで管理する必要があります。
  - 方法 2: CDN コンソールを使用する
    [CDN ドメイン名リスト] ページに移動して、構成済みでアクティブな CDN アクセラレーションされたドメイン名とそのオリジンバケット情報を表示します。この方法を使用すると、ドメインの CDN アクセラレーションステータスとオリジン構成の詳細を直接確認できます。

OSS で証明書のホスティングを構成して HTTPS アクセスを有効にする

このセクションでは、バケットにマッピングされたカスタムドメイン名に対してセキュアな HTTPS アクセスを有効にする方法について説明します。HTTPS は転送中のデータを暗号化し、認証を提供してアクセスを保護します。

開始する前に、カスタムドメイン名を OSS バケットにマッピングしていることを確認してください。また、SSL 証明書サービスでドメイン名に一致する有効な SSL 証明書が必要です。新しい証明書を購入するか、無料の証明書を申請するか、サードパーティの証明書をアップロードすることで証明書を取得できます。

ステップ 1: 証明書のホスティングを構成する

OSS で SSL 証明書をホストして、カスタムドメイン名に対する HTTPS 暗号化アクセスを有効にします。

[バケット] ページに移動します。ターゲットバケットをクリックします。左側のナビゲーションウィンドウで、[バケット設定] > [ドメイン] をクリックします。
ターゲットのカスタムドメイン名の [操作] 列で、[証明書のホスティング] をクリックします。[証明書名] ドロップダウンリストから証明書を選択します。目的の証明書を選択できない場合は、[SSL 証明書管理] ページに移動し、証明書が次の条件を満たしていることを確認してください。
- 証明書が発行済みで有効であること。
- 証明書が構成中のドメイン名に対して有効であること。
[アップロード][証明書] をクリックして、証明書のホスティングの構成を完了します。

ステップ 2: HTTPS アクセスを検証する

証明書のホスティングを構成し、それが有効になるまで時間を置いた後、ブラウザでリソースにアクセスして設定を検証します。構成が成功すると、安全な暗号化されたデータ送信が保証されます。

[バケット] ページに移動し、ターゲットバケットの名前をクリックします。
アクセスしたいオブジェクトファイルの [操作] 列で、[詳細の表示] をクリックします。
[ドメイン名] を [カスタムドメイン名] に設定します。ドロップダウンリストから、マッピングされたカスタムドメイン名を選択します。次に、[オブジェクト URL のコピー] をクリックします。
ブラウザで URL にアクセスして、HTTPS 暗号化アクセスを検証します。ブラウザのアドレスバーにロックアイコンが表示され、接続が暗号化されていることを示します。

CDN で HTTPS 証明書を構成して HTTPS アクセスを有効にする

CDN アクセラレーションが有効になっているカスタムドメイン名に対してセキュアな HTTPS アクセスを有効にします。これにより、CDN のグローバル POP を介してアクセラレーションを提供しながら、安全なデータ送信が保証されます。

開始する前に、OSS バケットの CDN アクセラレーションを構成し、アクセラレーションされたドメイン名をエンドポイントとして使用していることを確認してください。また、SSL 証明書サービスでドメイン名に一致する有効な SSL 証明書が必要です。新しい証明書を購入するか、無料の証明書を申請することができます。また、次の手順でサードパーティの証明書をアップロードするか、サードパーティの証明書の内容と秘密鍵を直接入力することもできます。

ステップ 1: CDN HTTPS 証明書を構成する

CDN コンソールでアクセラレーションされたドメイン名に SSL 証明書を構成して、HTTPS セキュアアクセラレーションを有効にします。

[CDN コンソール] に移動します。ターゲットのアクセラレーションされたドメイン名をクリックします。[HTTPS] をクリックします。[HTTPS 証明書] の横にある [変更] をクリックします。
[HTTPS セキュアアクセラレーション] を選択します。課金に関する注意を読み、[OK] をクリックします。
[証明書ソース] ドロップダウンリストに基づいて、SSL 証明書を選択するか、サードパーティの証明書情報を入力します。
- [SSL 証明書サービス]: [証明書名] ドロップダウンリストから証明書を選択します。目的の証明書を選択できない場合は、[SSL 証明書管理] ページに移動し、証明書が次の条件を満たしていることを確認してください。
  - 証明書が発行済みで、有効期間内であること。
  - 証明書が構成中のドメイン名に対して有効であること。
- [カスタム証明書 (証明書 + 秘密鍵)]: [証明書名]、[証明書 (公開鍵)]、および [秘密鍵] を入力します。
[OK] をクリックして HTTPS 証明書の構成を完了します。

ステップ 2: CDN HTTPS アクセスを検証する

アクセラレーションされたドメイン名の HTTPS 構成は、デプロイに約 1 分かかります。構成が有効になった後、ブラウザで HTTPS を介して OSS リソースにアクセスして検証します (例: https://example.com/dest.jpg、ここで example.com はアクセラレーションされたドメイン名です)。アクセスが成功すると、ブラウザのアドレスバーにロックアイコンが表示され、データ送信が暗号化されていることを示します。

本番環境での適用

本番環境では、HTTPS 構成でセキュリティ、信頼性、パフォーマンスを考慮する必要があります。健全な構成戦略とリスク軽減策により、サービスの継続的かつ安定した運用が保証されます。

ベストプラクティス

HTTPS アクセスの強制: アクセス制御ポリシーの構成
本番環境では、すべてのクライアントに対して HTTPS を強制することをお勧めします。これにより、送信中にデータが傍受または改ざんされるのを防ぎ、データ保護のコンプライアンス要件を満たすのに役立ちます。
- カスタムドメイン名の場合、バケットポリシーを構成してすべての HTTP リクエストを拒否します。
  構成例
  [バケット] ページに移動します。ターゲットバケットをクリックします。左側のナビゲーションウィンドウで、[アクセス制御] > [バケットポリシー] をクリックします。[構文で追加] を選択して、次のバケットポリシーを追加します。
  ポリシーを追加する際、サンプル構成の bucketname を実際のバケット名に置き換えてください。
```
{
	"Version": "1",
	"Statement": [{
		"Effect": "Deny",
		"Action": [
			"oss:*"
		],
		"Principal": [
			"*"
		],
		"Resource": [
			"acs:oss:*:*:bucketname",
			"acs:oss:*:*:bucketname/*"
		],
		"Condition": {
			"Bool": {
				"acs:SecureTransport": [
					"false"
				]
			}
		}
	}]
}
```
  バケットポリシーを構成すると、すべての HTTP リクエストが拒否されます。
- CDN アクセラレーションされたドメイン名の場合、強制リダイレクトを構成するか、HTTP Strict Transport Security (HSTS) を有効にしてクライアントに HTTPS の使用を強制し、全体的なセキュリティレベルを向上させます。
  構成例
  - 強制リダイレクトの構成
    [CDN コンソール] ページに移動します。ターゲットのアクセラレーションされたドメイン名をクリックします。[HTTPS] をクリックし、[HTTP/S リダイレクト] の横にある [変更] をクリックします。次の図に示すようにリダイレクトを構成します。構成が完了すると、CDN は 301 リダイレクトを使用して、クライアントから CDN ノードへの HTTP リクエストを HTTPS リクエストに変更します。
  - HSTS の有効化
    [CDN コンソール] ページに移動します。ターゲットのアクセラレーションされたドメイン名をクリックします。[HTTPS] をクリックし、[HSTS] の横にある [変更] をクリックします。次の図に示すように HSTS を有効にします。構成が完了すると、クライアントの HTTP リクエストは強制的に HTTPS リクエストに変換されます。
自動更新: 証明書のライフサイクル管理
SSL 証明書には固定の有効期間があります。期限切れの証明書は、サービスの中断やビジネス上の損失を引き起こします。証明書の有効期限を監視し、アラートを設定します。テストとデプロイに十分な時間を確保するために、証明書を 30 日前に更新します。Alibaba Cloud SSL 証明書の場合、証明書のホスティングを有効にすることで手動介入を減らすことができます。サードパーティの証明書については、定期的な更新プロセスを確立し、担当者を指定して業務継続性を確保します。
パフォーマンスの最適化: HTTP/2 と圧縮の有効化
最新のブラウザと CDN は HTTP/2 プロトコルを広くサポートしており、HTTP/1.1 に比べて多重化、ヘッダー圧縮、サーバープッシュなどの技術的利点があります。これらの機能により、ページの読み込み速度が大幅に向上します。CDN 構成で HTTP/2 プロトコルと Gzip 圧縮を有効にして、伝送効率を最適化し、帯域幅の消費を削減し、ユーザーエクスペリエンスを向上させます。

リスク軽減

証明書障害の緊急時対応: バックアップ証明書メカニズムの確立
プライマリ証明書の障害、偶発的な削除、CA 関連の問題など、予期しないイベントに備えてバックアップ SSL 証明書を準備します。重要な業務システムには、複数の認証局 (CA) からの証明書をバックアップとして使用します。プライマリ証明書が失敗した場合は、迅速にバックアップに切り替えて、サービスのダウンタイムを最小限に抑え、業務継続性を確保します。
アクセスダウングレードポリシー: 緊急時に HTTP に戻す
HTTPS はベストプラクティスですが、解決不可能な重大な証明書の問題が発生した場合に HTTP に戻す緊急計画を用意してください。トラブルシューティング中に一時的に HTTP アクセスを許可するための標準的な緊急対応プロシージャと操作マニュアルを用意します。監視とロギングを強化して、迅速な問題検出と迅速なサービス復旧を保証します。

OSS ルート証明書のアップグレード

ルート証明書は SSL/TLS 信頼チェーンの基盤であり、サーバー証明書の信頼性を検証するために使用されます。ブラウザとオペレーティングシステムには、組み込みのルート証明書ストアがあります。サーバー証明書は、信頼されたルート証明書によって署名されている場合にのみ安全と見なされます。

背景

継続的に信頼できるネットワークセキュリティ環境を確保するため、Mozilla は 2023 年初頭に新しいルート証明書信頼ポリシーを実装しました。このポリシーによると、発行日から 15 年以上経過したサーバー認証に使用されるルート証明書は、Mozilla によって信頼されなくなります。このポリシーの影響を受け、GlobalSign はルート証明書のアップグレード通知を発行し、GlobalSign Root R1 ルート証明書が 2025 年 4 月 15 日から無効になると述べました。詳細については、「ルート証明書信頼ポリシーの更新に関する Mozilla の通知」および「GlobalSign のルート証明書アップグレード通知」をご参照ください。

OSS の対応戦略

ルート証明書信頼ポリシーの変更に対応して、Alibaba Cloud Object Storage Service (OSS) は、スムーズな移行と継続的なサービス可用性を確保するために、次の戦略を採用しました。詳細については、「Alibaba Cloud Object Storage Service HTTPS ルート証明書アップグレードのお知らせ」をご参照ください。

証明書の更新計画
2024 年 7 月 1 日以降、OSS によって発行される新しい証明書は GlobalSign Root R3 を使用して、最新のセキュリティ標準との互換性を確保し、ルート証明書信頼ポリシーの変更によるアクセス中断を防ぎます。
クロス証明書の互換性ソリューション
移行期間中の幅広い互換性を確保するため、既存の OSS 証明書はクロス証明書メカニズムを使用して、GlobalSign Root R1 から GlobalSign Root R3 へスムーズに移行します。GlobalSign Root R1 に基づくクロス証明書は 2028 年 1 月 28 日まで有効です。証明書の申請は有効期限の 13 か月前までに提出する必要があることを考慮し、関連するすべてのルート証明書の更新準備を 2026 年 12 月 28 日までに完了してください。
将来の計画と推奨事項
長期的な開発のために、GlobalSign Root R3 は現在のソリューションですが、2027 年 4 月 15 日から Mozilla によって信頼されなくなり、最終的に 2029 年 3 月 18 日に有効期限が切れます。したがって、ルート証明書をタイムリーに更新し、ルート証明書リストに GlobalSign R1、R3、R6、R46 などの複数の権威あるルート証明書を含めて、将来の証明書ローテーションのニーズに対応できるようにしてください。

必要な操作

ほとんどのユーザーにとって、操作は不要です。最新のオペレーティングシステム (Windows 7 以降、macOS 10.12.1 以降、過去 5 年間の主要な Linux ディストリビューションなど) およびブラウザ (Chrome、Firefox、Safari など) は、組み込みのルート証明書ライブラリを自動的に更新します。これらは新しいルート証明書を自動的に信頼します。

レガシーオペレーティングシステム、組み込みデバイス、または古いカスタムクライアントで HTTPS を介して OSS にアクセスする際に証明書エラーが発生した場合にのみ、以下の手順に従ってください。

ステップ 1: 'GlobalSign Root CA - R3' ルート証明書を確認する

Windows

Win+R を押し、certmgr.msc と入力して Enter キーを押し、証明書マネージャーを開きます。
左側のナビゲーションウィンドウで、[信頼されたルート証明機関] > [証明書] を展開します。
右側のリストで、[発行先] が [GlobalSign] で、[フレンドリ名] が [GlobalSign Root CA - R3] である証明書を見つけます。

Linux

Ubuntu を例として、ターミナルを開き、次のコマンドを実行して、システムの証明書ディレクトリに GlobalSign 関連の証明書が存在するかどうかを確認します。

ls /etc/ssl/certs/ | grep GlobalSign

macOS

[Finder] を開き、[キーチェーンアクセス] を検索し、ダブルクリックして開きます。
[システムルート] をクリックします。右上隅の検索ボックスに [GlobalSign] と入力します。証明書をダブルクリックして詳細を表示します。

ステップ 2: 不足しているルート証明書をインストールする

システムにルート証明書がないことを確認した場合は、お使いのオペレーティングシステムに対応するインストール方法に従ってください。

課金

CDN で HTTPS を有効にすると、静的 HTTPS リクエストの数に対して課金されます。詳細については、「静的コンテンツの HTTPS リクエストの課金」をご参照ください。

よくある質問

置き換えられた、または期限切れの証明書を更新するにはどうすればよいですか?

更新手順は初期構成と同じです。ドメイン名のタイプに対応する更新パスを選択してください。

OSS カスタムドメイン名: [バケット] ページに移動し、ターゲットバケットのドメイン管理の [証明書のホスティング] セクションで、新しい証明書を選択します。
CDN アクセラレーションされたドメイン名: [CDN コンソール] に移動します。ターゲットのアクセラレーションされたドメイン名の HTTPS 設定で、新しい証明書を選択またはアップロードします。

SSL 証明書を構成した後も、ブラウザに「安全でない」または「証明書エラー」というメッセージが表示されるのはなぜですか?

構成後もセキュリティ警告が続く場合は、次のように問題をトラブルシューティングしてください。

構成場所の確認: アクセスドメインで CDN アクセラレーションが有効になっているかどうかを確認します。有効になっている場合は、Alibaba Cloud CDN コンソールでアクセラレーションされたドメイン名に対して HTTPS を構成する必要があります。OSS コンソールの証明書ホスティング設定は適用されません。
ブラウザキャッシュのクリア: ブラウザが古い証明書のステータスをキャッシュしている可能性があります。ブラウザのキャッシュをクリアして、再度サイトにアクセスしてみてください。
構成が有効になるのを待つ: 証明書の構成はデプロイに時間がかかる場合があります。数分待ってから再テストしてください。
証明書チェーンの完全性の確認: 中間 CA によって発行された証明書ファイルには、複数の証明書が含まれています。アップロードする前に、サーバー証明書と中間証明書を連結して完全な証明書チェーンを形成します。通常、認証局はこの連結に関する指示を提供します。関連ドキュメントを注意深く確認してください。

HTTPS で OSS にアクセスする際の証明書例外をどのように処理しますか?

証明書例外のタイプに基づいて、対応する方法を使用できます。

証明書が構成されていない: ブラウザに「この接続ではプライバシーが保護されません」と表示され、エラーメッセージは NET::ERR_SSL_PROTOCOL_ERROR です。このエラーは、証明書がないか、間違った場所に構成されている (たとえば、CDN アクセラレーションが有効な場合に OSS で証明書ホスティングを使用している) ことを示している可能性があります。正しい方法で HTTPS を再構成してください。
証明書の有効期限切れ: ブラウザに「この接続ではプライバシーが保護されません」と表示され、エラーメッセージは NET::ERR_CERT_DATE_INVALID です。ドメインにバインドされている証明書の有効期限が切れています。ブラウザで有効期限を確認します。新しい証明書を購入または申請し、構成手順に従って更新します。
証明書の不一致: ブラウザに「この接続ではプライバシーが保護されません」と表示され、エラーメッセージは NET::ERR_CERT_COMMON_NAME_INVALID です。アクセス URL のドメインが証明書のドメインに含まれていません。たとえば、アクセスドメインが cdn.example.com であるのに、証明書が oss.example.com にバインドされている場合などです。アクセスドメインに正しい証明書を構成してください。

証明書を選択する際に、ドロップダウンリストに目的の証明書が見つからないのはなぜですか?

証明書がドロップダウンリストに表示されない理由は次のとおりです。

証明書とドメイン名の不一致: システムは、現在構成しているドメインに一致する証明書のみをリストします。たとえば、oss.example.com の証明書を構成する場合、cdn.example.com に発行された証明書は選択できません。
証明書が現在のアカウントにない: 証明書が現在の Alibaba Cloud アカウントにあるかどうかを確認します。そうでない場合は、[SSL 証明書管理] ページで証明書をアップロードする必要があります。
ワイルドカード証明書のレベルの不一致: ワイルドカード証明書は、同じレベルのサブドメインのみをサポートします。たとえば、*.example.com は www.example.com と oss.example.com には一致しますが、cdn.oss.example.com には一致しません。

CDN で HTTPS 証明書を構成すると、証明書のフォーマットが正しくないというメッセージが表示されます。フォーマットを変換するにはどうすればよいですか?

CDN HTTPS 構成は PEM フォーマットの証明書のみをサポートします。CA によって証明書コンテンツのアップロード要件が異なります。証明書が PEM フォーマットでない場合は、「証明書のフォーマット」をご参照ください。ドキュメントの指示に従ってフォーマットを変換してからアップロードしてください。

コマンドラインまたは API を使用して証明書を更新するにはどうすればよいですか?

CDN アクセラレーションされたドメイン名: Alibaba Cloud CLI を使用して CDN ドメイン証明書を設定します。詳細については、「Cloud Assistant CLI 統合例」および「SetDomainServerCertificate API」をご参照ください。
OSS カスタムドメイン名: ossutil を使用して証明書をカスタムドメイン名にバインドします。詳細については、「put-cname コマンド」をご参照ください。

HTTPS アクセスを無効にするにはどうすればよいですか?

カスタムドメイン名
HTTPS アクセスを無効にするには、次の手順に従って証明書を削除します。
1. [バケット] ページに移動します。ターゲットバケットをクリックします。左側のナビゲーションウィンドウで、[バケット設定] > [ドメイン] をクリックします。
2. ターゲットドメイン名の [証明書の詳細] の横にある削除アイコンをクリックし、[OK] をクリックします。
CDN アクセラレーションされたドメイン名
HTTPS を無効にするには、次の手順に従います。
重要
アクセスの中断を避けるため、HTTPS を無効にする前に、まず URL リダイレクトタイプをデフォルト設定に戻し、HSTS 機能を無効にしてください。
1. [CDN コンソール] に移動し、ターゲットのアクセラレーションされたドメイン名をクリックし、[HTTPS] をクリックしてから、[HTTPS 証明書] の横にある [変更] をクリックします。
2. 次の図に示すように [HTTPS セキュアアクセラレーション] を無効にしてから、[OK] をクリックします。