このトピックでは、HTTPS セキュアアクセラレーションの仕組み、メリット、ユースケース、および有効化する方法について説明します。この機能を有効にすると、クライアントと ApsaraVideo VOD がアクセラレーションに使用する CDN POP (Point of Presence) との間の HTTPS リクエストを暗号化できます。これにより、伝送中のデータセキュリティが確保されます。
背景情報
Alibaba Cloud CDN コンソールで HTTPS セキュアアクセラレーションを構成して、クライアントと CDN POP との間の HTTPS リクエストを暗号化できます。
CDN POP がオリジンサーバーからクライアントにリソースを返すとき、接続はオリジンサーバーの構成に従います。エンドツーエンドの HTTPS 暗号化を実装するには、オリジンサーバーでも HTTPS を構成して有効にする必要があります。
仕組み
以下の図は、HTTPS 暗号化プロセスを示しています。
クライアントが HTTPS リクエストを開始します。
サーバーは、公開鍵と秘密鍵で構成されるキーペアを生成します。キーペアを作成するか、専門の組織から取得できます。
サーバーは、公開鍵を含む証明書をクライアントに送信します。
クライアントは証明書を解析して、その信頼性を検証します。
証明書が有効な場合、クライアントは乱数 (キー) を生成し、公開鍵で暗号化してサーバーに送信します。
証明書が無効な場合、SSL ハンドシェイクは失敗します。
説明有効な証明書は、次の要件を満たす必要があります。有効期限が切れていないこと、信頼できる認証局 (CA) によって発行されていること、デジタル署名が検証可能であること、および証明書のドメイン名がサーバーの実際のドメイン名と一致していること。
サーバーは秘密鍵を使用してメッセージを復号化し、乱数 (キー) を取得します。
サーバーはこのキーを使用して、送信するデータを暗号化します。
クライアントはこのキーを使用して、サーバーからの暗号化されたデータを復号化し、元のデータを取得します。
利点
HTTPS セキュア伝送には、次のメリットがあります。
HTTPS セキュア伝は、プレーンテキストの HTTP 伝送に固有のリスクである盗聴、改ざん、偽装、ハイジャックを効果的に防止します。
データ伝送中に重要な情報を暗号化して、攻撃者がセッション ID や Cookie の内容をキャプチャするのを防ぎ、機密情報の漏洩を防ぎます。
伝送中にデータ整合性チェックを実行して、DNS ハイジャック、コンテンツハイジャック、第三者による改ざんなどの中間者 (MITM) 攻撃を防ぎます。
主要なブラウザが HTTP 接続を安全でないとマークするため、HTTPS の使用は現在、標準的な慣行となっています。HTTP を使用し続けると、Web サイトにセキュリティの脆弱性が生じます。さらに、ユーザーが Web サイトにアクセスしたときに表示される「安全でない」という警告は、トラフィックに悪影響を及ぼす可能性があります。
主要な検索エンジンは、検索結果で HTTPS Web サイトをより高くランク付けします。主要なブラウザは HTTP/2 もサポートしており、これには HTTPS が必要です。セキュリティ、マーケティング、およびユーザーエクスペリエンスの観点から、HTTPS の採用は不可欠です。したがって、アクセスプロトコルを HTTPS にアップグレードする必要があります。
シナリオ
HTTPS セキュア伝送の主なユースケースは、次の表に示すように 5 つのカテゴリに分類されます。
アプリケーションシナリオ | 説明 |
エンタープライズ アプリケーション | Web サイトに顧客関係管理 (CRM) や企業資源計画 (ERP) データなどの機密性の高い企業情報が含まれている場合、アクセス中にこの情報が傍受または盗難されると、ビジネスに壊滅的な影響を与える可能性があります。 |
政府情報 | 政府の Web サイトの情報は権威があり、正確でなければなりません。フィッシング、詐欺、情報ハイジャックを防ぎ、情報漏洩による国民の信頼の喪失を回避します。 |
決済システム | 決済プロセスには、名前や電話番号などの機密情報が含まれます。HTTPS 暗号化伝送を有効にして、情報のハイジャックや不正な偽装を防ぎます。これにより、顧客が注文後に「注文が滞っている」などの理由で再支払いを求める、名前、住所、注文詳細を含む詐欺メッセージを受け取るような詐欺を回避できます。このような詐欺は、顧客とビジネスの両方に金銭的損失をもたらします。 |
API 操作 | 機密情報や重要な操作命令の伝送を保護し、伝送中にコア情報がハイジャックされるのを防ぎます。 |
企業 Web サイト | ドメイン認証 (DV) または組織認証 (OV) 証明書の緑色のセキュリティロックアイコンを有効にするか、拡張検証 (EV) 証明書のアドレスバーに会社名を表示します。これにより、潜在的な顧客に、より信頼性が高く安心できるブラウジング体験を提供します。 |
手順
証明書サービスから証明書を購入します。
HTTPS セキュアアクセラレーションを有効にするには、高速化ドメイン名に一致する証明書が必要です。[証明書サービスマーケットプレイス] では、ニーズに応じて無料トライアル証明書を申請したり、商用証明書を購入したりできます。
HTTPS 証明書を設定します。
ApsaraVideo VOD コンソール にログオンします。
左側のナビゲーションウィンドウで、[設定管理] を選択します。
をクリックして、[ドメイン名] ページを開きます。
設定するドメイン名を見つけ、[操作] 列の [設定] をクリックします。
[HTTPS 設定] タブをクリックします。[HTTPS 証明書] セクションで、[変更] をクリックします。
構成を変更します。
説明期限切れまたは無効な HTTPS 証明書は、再生の失敗を引き起こす可能性があります。証明書を速やかに更新してください。
パラメーター
説明
証明書タイプ
Alibaba Cloud セキュリティ
証明書サービスコンソールで、さまざまなブランドや種類の証明書を迅速に申請できます。詳細については、「証明書の申請」をご参照ください。
証明書サービスから無料の個人テスト証明書を申請した後、[証明書タイプ] を [Alibaba Cloud 証明書] に設定し、申請した証明書を選択します。
無料の個人テスト証明書は、通常 1〜2 営業日以内に発行されます。待っている間、カスタム証明書をアップロードするか、別の Alibaba Cloud 証明書を選択できます。
説明CA の審査プロセスに基づき、証明書は数時間から最大 2 営業日以内に発行される場合があります。これは正常な動作です。しばらくお待ちください。
無料の個人テスト証明書は 3 か月間有効です。HTTPS セキュアアクセラレーションを無効にしてから再度有効にすると、既存の有効期限が切れていない証明書が使用されます。この機能を再度有効にしたときに証明書の有効期限が切れている場合は、新しい無料の個人テスト証明書を申請する必要があります。
カスタム
リストに適切な証明書がない場合は、カスタム証明書をアップロードすることを選択できます。証明書名を指定し、証明書の内容と秘密鍵をアップロードする必要があります。証明書は Alibaba Cloud の証明書サービスに保存されます。[マイ証明書] で表示できます。
説明[カスタム] 証明書をアップロードする際に、証明書が重複していることを示すメッセージが表示された場合は、証明書名を変更して再度アップロードしてください。
証明書名
このパラメーターは、[証明書タイプ] が [Alibaba Cloud 証明書] または [カスタム] に設定されている場合に必要です。
コンテンツ
このパラメーターは、[証明書タイプ] が [カスタム] に設定されている場合に必要です。設定手順については、[内容] テキストボックスの下にある [PEM エンコーディングの例] をご参照ください。
秘密鍵
このパラメーターは、[証明書タイプ] が [カスタム] に設定されている場合に必要です。設定手順については、[秘密鍵] テキストボックスの下にある [PEM エンコーディングの例] をご参照ください。
構成を保存するには、[OK] をクリックします。
次の手順
更新された HTTPS 証明書がネットワーク全体で有効になるまで約 1 分かかります。構成が有効であることを確認するには、HTTPS を使用してリソースにアクセスします。ブラウザのアドレスバーにロックアイコンが表示された場合、HTTPS セキュアアクセラレーションが有効になり、正しく機能していることを示します。