HTTPS 高速化ゲートウェイとは

更新日時
Copy as MD

HTTPS 高速化ゲートウェイは、SSL/TLS 証明書の自動管理と静的コンテンツのキャッシュを統合した、軽量なリバースプロキシサービスです。従来の HTTPS のデプロイでは、証明書の購入、申請、デプロイ、更新など、複数の手順が必要でした。証明書の有効期間が短縮され続けるにつれて、運用上の負担は増大し続けています。HTTPS 高速化ゲートウェイは、エッジノードで TLS 終端 を使用して、証明書のライフサイクル全体を自動的に管理します。オリジンサーバーの設定を変更することなく、ドメイン名の CNAME レコードをゲートウェイに向けるだけで、高速な HTTPS アクセスを有効にできます。

メリット

HTTPS 高速化ゲートウェイは、セキュリティ暗号化とパフォーマンスの高速化を組み合わせ、以下の主要なメリットを提供します:

  • 証明書ライフサイクルの自動管理

    • 自動管理: 証明書の申請、デプロイ、更新を自動的に処理し、証明書が常に有効であることを保証します。

    • インフラストラクチャの制約なし: 従来型のデータセンター、オンプレミスのサーバルーム、その他の非標準的なクラウド環境でも、手動での証明書デプロイなしで動作します。

  • グローバルなコンテンツ高速化

    • 近接性に基づくアクセス: オリジンサーバーからの静的リソースを、ユーザーに最も近い Alibaba Cloud の世界中に分散されたエッジノードにキャッシュします。

    • パフォーマンスの向上: ユーザーリクエストはまずエッジキャッシュから処理されるため、オリジンリクエストが減少し、アクセス速度が向上し、オリジンサーバーの負荷が軽減されます。

  • ワンクリックでの非侵入型統合

    • 非侵入型の設定: オリジンサーバーの設定ファイル (Nginx や Tomcat など) を変更する必要はありません。DNS レコードを更新するだけで利用を開始できます。

    • 運用の簡素化: HTTPS の実装のハードルを大幅に下げ、専任のセキュリティ運用スタッフがいないチームに最適です。

  • セキュリティとコンプライアンス

    • コンプライアンス要件への準拠: Multi-Level Protection Scheme (MLPS) や Payment Card Industry Data Security Standard (PCI DSS) などの基準で求められる通信中の暗号化要件を満たします。

    • SEO ランキングの向上: HTTPS サイトは主要な検索エンジンに好まれるため、検索ランキングの向上に役立ちます。

ユースケース

  • 金融および決済システム: オンラインバンキングや決済プラットフォームに適しています。暗号化により、通信中のデータが傍受されたり改ざんされたりするのを防ぎ、金融資産とプライバシーを保護します。

  • 政府およびエンタープライズシステム: Office Automation (OA) システムや政府ポータルに最適です。サーバー認証により、DNS ハイジャックやフィッシング攻撃を防ぎます。

  • E コマースおよび小売プラットフォーム: クレジットカード番号やパスワードなどのユーザーの取引詳細を保護し、ユーザーの信頼を築き、カート放棄を減らします。

  • SEO 最適化: 検索エンジンのインデックス登録とランキングを向上させる必要がある、コンテンツ主導の Web サイトやニュースポータルに適しています。

  • モバイルアプリとミニプログラム: iOS、Android、および様々なミニプログラムエコシステムなどのプラットフォームの必須 HTTPS 要件を満たします。

仕組み

HTTPS 高速化ゲートウェイは、クライアントとオリジンサーバーの中間として機能します。処理の流れは以下の通りです:

image
  1. クライアントリクエスト: ユーザーが HTTPS 経由でドメイン名にアクセスします。

  2. DNS 名前解決: ドメイン名の CNAME レコードが、リクエストを HTTPS 高速化ゲートウェイのエッジノードにルーティングします。

  3. TLS 終端: エッジノードがクライアントとの TLS ハンドシェイクを完了し、暗号化された接続を確立します。リクエストの復号やレスポンスの暗号化など、証明書関連のすべての操作はゲートウェイ層で処理されます。

  4. キャッシュの確認

    • 有効なキャッシュを持つ静的コンテンツ: エッジノードはコンテンツを暗号化し、クライアントに直接返します。オリジンリクエストは不要です。

    • 動的コンテンツ または キャッシュミス: ゲートウェイは、HTTP または HTTPS 経由でオリジンサーバーにオリジンリクエストを送信します。

  5. レスポンスの配信: オリジンサーバーのレスポンスはゲートウェイによって暗号化され、確立された HTTPS 接続を介してクライアントに配信されます。

制限事項と証明書の仕様

統合とセキュリティの制限

  • ポートの制限: オリジンサーバーへのオリジンリクエストは、ポート 80 と 443 のみをサポートします。

  • プロキシサービスの制限: このサービスは、CDN や Web Application Firewall (WAF) など、他のトラフィック転送サービスを既に使用しているドメイン名をサポートしていません。

  • 違反と攻撃の処理: Web サイトのコンテンツが適用される規制に違反している場合、または DDoS 攻撃を受けている場合、サービスは自動的に停止されます。

機能上の制限

  • ファイルアップロード: 単一ファイルの最大サイズは 300 MB です。

  • キャッシュサイズの制限: 単一キャッシュファイルの最大サイズは 500 GB です。

  • リクエストヘッダーの制限

    • カスタム HTTP リクエストヘッダーの最大長は 300 バイト です。

    • HTTP/2: 単一の URL またはリクエストヘッダーは 32 KB を、合計サイズは 128 KB を超えることはできません。

    • HTTP/1.1: 単一の URL またはリクエストヘッダーは 64 KB を、合計サイズは 256 KB を超えることはできません。

  • オリジンリクエストのタイムアウト: TCP 接続のタイムアウトは 10 秒、HTTP レスポンスのタイムアウトは 30 秒です。

  • サポートされているメソッド: デフォルトでは、このサービスは GETPOSTPUTHEAD、および OPTIONS をサポートしています。

証明書の仕様

ゲートウェイサービスを購入すると、次の SSL 証明書ブランドが使用されます:

  • [エントリーレベル - シングルドメイン]: DigiCert 証明書。

  • [Basic Edition - 単一ドメイン名]: DigiCert 証明書。

  • [Basic Edition - ワイルドカード]: Rapid 証明書。

課金

HTTPS 高速化ゲートウェイの料金は、ゲートウェイインスタンスの数、Gateway Resource Calculation Quantity (GRCQ)、およびサブスクリプション期間に応じて決まります。詳細については、「HTTPS 高速化ゲートウェイの課金詳細」をご参照ください。

クイックスタート

  1. ゲートウェイの購入: 「ゲートウェイ購入ガイド」をご参照ください。

  2. ゲートウェイの設定: 高速化するドメイン名を追加し、DNS 名前解決を設定します。「HTTPS 高速化ゲートウェイインスタンスの設定」をご参照ください。

よくある質問

ゲートウェイを購入した後、証明書を購入する必要がありますか?

いいえ。HTTPS 高速化ゲートウェイを購入すると、サービスはゲートウェイに追加したドメイン名に証明書を自動的にバインドします。

オリジンサーバーに HTTPS 証明書は必要ですか?

いいえ。ゲートウェイはエッジノードで TLS 終端を使用します。クライアントとゲートウェイ間のトラフィックは HTTPS で暗号化されますが、ゲートウェイからオリジンサーバーへのオリジンリクエストは平文の HTTP を使用できます。オリジンサーバーは、SSL を処理することなく HTTP トラフィックを処理するだけで済みます。セキュリティを強化するために、ゲートウェイは HTTPS 経由のオリジンリクエストもサポートしています。

ゲートウェイドメインには ICP 备案が必要ですか?

はい。HTTPS 高速化ゲートウェイはデフォルトでネットワーク高速化をサポートしており、このサービスを使用するには、ドメイン名が ICP 备案 を完了している必要があります。