HTTPS セキュアアクセラレーションは、クライアントと Alibaba Cloud CDN の POP (Point of Presence) 間の HTTPS 接続を暗号化し、伝送中のデータセキュリティを確保します。このトピックでは、この機能の概要と設定手順について説明します。
背景情報
Alibaba Cloud CDN コンソールで HTTPS セキュアアクセラレーションを設定すると、クライアントから POP に送信されるリクエストは HTTPS を介して暗号化されます。
POP はオリジンサーバーから要求されたリソースを取得し、オリジンサーバーの HTTPS 設定に基づいてクライアントにリソースを返します。エンドツーエンドの HTTPS 暗号化を実現するために、オリジンサーバーで HTTPS を設定し、有効にすることを推奨します。
仕組み
以下の図は、HTTPS セキュアアクセラレーションの仕組みを示しています。
クライアントは HTTPS 経由でリクエストを送信します。
サーバーは公開鍵と秘密鍵を生成します。キーは独自に準備することも、認証局にリクエストすることもできます。
サーバーは公開鍵証明書をクライアントに送信します。
クライアントは証明書を検証します。
証明書が有効な場合、クライアントはキーとして乱数を生成します。クライアントは公開鍵を使用して乱数を暗号化し、暗号化された乱数をサーバーに送信します。
証明書が無効な場合、SSL ハンドシェイクは失敗します。
説明有効な証明書は、次の要件を満たす必要があります:証明書の有効期限が切れていないこと。信頼できる認証局 (CA) によって発行されていること。証明書内の発行者のデジタル署名が、発行者の公開鍵で復号できること。証明書内のドメイン名がサーバーのドメイン名と同一であること。
サーバーは秘密鍵を使用して、暗号化された乱数を復号します。
サーバーは乱数を使用してデータを暗号化し、そのデータをクライアントに送信します。
クライアントは乱数を使用して受信したデータを復号します。
利点
HTTPS セキュアアクセラレーションには、以下のメリットがあります。
HTTPS セキュアアクセラレーションは、通信を盗聴、改ざん、なりすまし攻撃、中間者 (MITM) 攻撃から保護します。
HTTPS は、セッション ID や Cookie などの機密情報を送信前に暗号化します。これにより、機密情報の漏洩リスクを最小限に抑えます。
HTTPS は、伝送中にデータ完全性をチェックして、DNS ハイジャックや改ざんなどの中間者 (MITM) 攻撃からデータを保護します。
HTTPS は新しい標準です。 HTTP を使用する場合、ご利用のウェブサイトがセキュリティリスクにさらされる可能性があります。主要なブラウザを使用してウェブサイトにアクセスしたユーザーには、このサイトが安全でないという警告が表示されます。これにより、ユーザーエクスペリエンスが損なわれ、ウェブサイトへのアクセスが減少する可能性があります。
主要なブラウザは、検索結果で HTTPS のウェブ URL を優先的に表示します。さらに、主要なブラウザが HTTP/2 をサポートするには、まず HTTPS をサポートする必要があります。HTTPS は、セキュリティ、市場での存在感、ユーザーエクスペリエンスの観点から、より信頼性の高い選択肢です。したがって、通信プロトコルを HTTPS にアップグレードすることを推奨します。
シナリオ
次の表に、HTTPS セキュアアクセラレーションの利用シーンを示します。
利用シーン | 説明 |
エンタープライズ アプリケーション | HTTPS は、エンタープライズウェブサイト上の機密情報がハイジャックされたり、傍受されたりするのを防ぎます。顧客関係管理 (CRM) データや企業資源計画 (ERP) データなどの機密情報が漏洩すると、企業に致命的な損害を与える可能性があります。 |
公共サービスサイト | HTTPS は、公共サービスサイト上の機密情報をフィッシングやハイジャックなどの攻撃から保護します。このような情報が漏洩すると、社会的な信頼が損なわれる可能性があります。 |
決済システム | HTTPS は、決済トランザクションで使用される顧客名や電話番号などの機密データを、ハイジャックやスプーフィング攻撃から保護します。機密データが漏洩した場合、攻撃者はそのデータを詐欺行為に利用する可能性があります。これにより、顧客と企業の両方に損失が生じます。 |
API 操作 | API 操作では HTTPS を使用して、機密データや重要な命令などの重要情報を暗号化できます。これにより、情報がハイジャックされるのを防ぎます。 |
企業 Web サイト | HTTPS は、ユーザーの信頼とエクスペリエンスを向上させます。ウェブブラウザは、ドメイン認証 (DV) または組織認証 (OV) 証明書を持つウェブサイトのアドレスバーに鍵アイコンを表示します。EV (Extended Validation) 証明書を持つウェブサイトでは、企業名が鍵アイコンと共に表示されます。 |
手順
Certificate Management Service から証明書を購入します。
HTTPS セキュアアクセラレーションを有効にするには、CDN のドメイン名に対応する証明書が必要です。Certificate Management Service から無料の証明書を申請するか、有料の証明書を購入することができます。
HTTPS 証明書を設定します。
ApsaraVideo VOD コンソールにログインします。
左側のナビゲーションウィンドウで、[設定管理] をクリックします。
の順に選択します。
設定するドメイン名を見つけ、[設定] をクリックします。
[HTTPS] をクリックします。[HTTPS 証明書] セクションで、[変更] をクリックします。
設定項目を変更します。
説明ご利用の SSL 証明書が期限切れまたは無効な場合、再生に失敗することがあります。証明書を必ず更新してください。
パラメーター
説明
証明書タイプ
Certificate Management Service
Certificate Management Service コンソールで、さまざまなプロバイダーや種類の SSL 証明書を申請できます。詳細については、「証明書の申請」をご参照ください。
無料の証明書を申請した後、[証明書タイプ] パラメーターを [Certificate Management Service] に設定し、無料の証明書を選択します。
無料の SSL 証明書は、通常 1〜2 営業日以内に発行されます。この期間中、カスタム証明書をアップロードするか、Certificate Management Service から証明書を選択することができます。
説明申請を提出した後、証明書は数時間から 2 営業日以内に発行される場合があります。証明書の発行に必要な時間は、CA が定義する検証プロセスに基づきます。
無料の SSL 証明書は 3 ヶ月間有効です。有効期限が切れる前に、HTTPS アクセラレーションを有効にするたびに新しい証明書を申請する必要はありません。現在の証明書の有効期限が切れた場合にのみ、新しい証明書を申請する必要があります。
その他
適切な証明書が見つからない場合は、カスタム証明書をアップロードします。カスタム証明書をアップロードするには、証明書名を入力し、証明書の内容と秘密鍵をアップロードする必要があります。アップロードされた証明書は Certificate Management Service に保存されます。[SSL 証明書管理] ページで証明書を確認できます。
説明[カスタム証明書] をアップロードする際に、入力した証明書名がシステムに既に存在する場合、証明書名を変更して再度証明書をアップロードできます。
証明書名
証明書名を入力します。
コンテンツ
[証明書タイプ] パラメーターを [その他] に設定した場合、証明書の内容を入力する必要があります。詳細については、[内容] フィールドの下にある [PEM 形式の例] をクリックしてください。
秘密鍵
[証明書タイプ] パラメーターを [その他] に設定した場合、秘密鍵を入力する必要があります。詳細については、[秘密鍵] フィールドの下にある [PEM 形式の例] をクリックしてください。
[OK] をクリックします。
次の手順
SSL 証明書がアップロードされると、1 分以内に有効になります。HTTPS 証明書が有効になったことを確認するには、HTTPS リクエストを送信してリソースにアクセスします。ブラウザのアドレスバーに URL と共に鍵アイコンが表示されれば、HTTPS セキュアアクセラレーションは正常に機能しています。