ApsaraVideo Live は、HTTPS セキュアアクセラレーションと強制リダイレクトをサポートしています。このトピックでは、セキュアアクセラレーションの仕組み、利点、使用方法、および重要な注意事項について説明します。
背景
ハイパーテキスト転送プロトコル (HTTP) はコンテンツをプレーンテキストで送信し、データ暗号化を提供しないため、送信中にデータが簡単に傍受され、読み取られる可能性があります。
概要
ApsaraVideo Live は、HTTPS セキュアアクセラレーションと強制リダイレクトをサポートしています。強制リダイレクトを使用するには、まず HTTPS 証明書を設定する必要があります。
HTTPS:
Hypertext Transfer Protocol Secure (HTTPS) は、HTTP のセキュアバージョンです。コンテンツをプレーンテキストで送信する HTTP とは異なり、HTTPS は Secure Sockets Layer (SSL)/Transport Layer Security (TLS) プロトコルを使用してカプセル化します。HTTPS のセキュリティは SSL/TLS に基づいています。
HTTPS は、ID 検証と暗号化通信を提供します。World Wide Web 上のセキュアな通信に広く使用されています。電子フロンティア財団 (EFF) の 2017 年のレポートによると、現在、世界中のすべての Web トラフィックの半分以上が HTTPS を使用して暗号化されています。
強制リダイレクト:
この機能は、クライアントリクエストを HTTP または HTTPS 経由で Points of Presence (POP) にリダイレクトします。
高速化ドメイン名に対して HTTPS セキュアアクセラレーションを有効にすると、カスタム設定を構成してエンドユーザーからのリクエストを強制的にリダイレクトできます。たとえば、HTTPS の有効化 を有効にした後、エンドユーザーが HTTP リクエストを開始すると、サーバーは HTTP 301 ステータスコードを返し、次の図に示すようにリクエストを HTTPS にリダイレクトします。
仕組み
ApsaraVideo Live コンソールで HTTPS を有効にすると、クライアントと ApsaraVideo Live ノード間のリクエストは HTTPS を使用して暗号化されます。ApsaraVideo Live ノードがオリジンサーバーからリソースを取得してクライアントに返す場合、オリジンサーバーへの接続に使用されるプロトコルはオリジンサーバーの設定によって異なります。エンドツーエンドの HTTPS 暗号化を実装するには、オリジンサーバーで HTTPS を設定して有効にすることをお勧めします。
次の図は、HTTPS 暗号化フローを示しています。
クライアントが HTTPS リクエストを開始します。
サーバーは公開鍵と秘密鍵を生成します。キーペアは自分で作成することも、専門の組織から取得することもできます。
サーバーは公開鍵証明書をクライアントに送信します。
クライアントは証明書を検証します。
証明書が有効な場合、クライアントは乱数 (キー) を生成します。次に、クライアントは公開鍵を使用して乱数を暗号化し、サーバーに送信します。
証明書が無効な場合、SSL ハンドシェイクは失敗します。
説明正確性には次のものが含まれます。
証明書の有効期限が切れていないこと。
サーバー証明書を発行した認証局 (CA) が信頼されていること。
発行者の公開鍵がサーバー証明書のデジタル署名を正しく復号できること。
サーバー証明書のドメイン名がサーバーの実際のドメイン名と一致すること。
サーバーは秘密鍵を使用してメッセージを復号し、乱数 (キー) を取得します。
サーバーはキーを使用して送信するデータを暗号化します。
クライアントはキーを使用してサーバーからの暗号化されたデータを復号し、コンテンツを読み取ります。
メリット
セキュアな伝送: HTTPS はデータ伝送を保護し、プレーンテキストの HTTP に関連する盗聴、改ざん、偽装、ハイジャックなどのリスクを効果的に防止します。
情報の暗号化: データ送信中に重要な情報が暗号化されます。これにより、セッション ID や Cookie がキャプチャされた場合に発生する可能性のある機密情報の漏洩を防ぎます。
データの完全性: 送信中にデータの完全性が検証され、DNS やコンテンツのハイジャック、改ざんなどの中間者 (MITM) 攻撃を防ぎます。
業界標準: 主要なブラウザは HTTP を安全でないものとしてマークしており、これはユーザーエクスペリエンスとアクセスセキュリティに影響します。HTTPS は業界標準です。HTTP/2 をサポートし、検索エンジンのランキングを向上させ、ユーザーエクスペリエンスを向上させます。
セキュリティとユーザーエクスペリエンスを向上させるために、アクセスプロトコルを HTTPS にアップグレードすることを強くお勧めします。
使用方法
HTTPS セキュアアクセラレーション
HTTPS 経由でリソースにアクセスし、セキュアアクセラレーションを有効にするには、HTTPS 証明書を設定する必要があります。証明書の詳細については、「証明書のフォーマット」をご参照ください。
HTTPS セキュアアクセラレーションは、ApsaraVideo Live コンソールで設定するか、API 操作を呼び出すことで設定できます。
コンソールを使用するには、「HTTPS セキュアアクセラレーションの設定」をご参照ください。
API を使用するには、SetLiveDomainCertificate 操作を呼び出してドメイン名証明書を設定します。
関連 API 操作:
API 操作 | 説明 | 参照 |
SetLiveDomainCertificate | ドメイン名の証明書機能を有効または無効にし、証明書情報を変更します。 | |
DescribeLiveCertificateList | 証明書のリストを照会します。 | |
DescribeLiveCertificateDetail | 証明書の詳細をクエリします。 | |
BatchDeleteLiveDomainConfigs | 複数のドメイン名の構成を一度に削除します。 |
強制リダイレクト
強制リダイレクトを設定する前に、HTTPS 証明書が設定されていることを確認してください。
強制リダイレクトは、ApsaraVideo Live コンソールで設定するか、API 操作を呼び出すことで設定できます。
コンソールを使用するには、「強制リダイレクトの設定」をご参照ください。
API を使用するには、BatchSetLiveDomainConfigs 操作を呼び出して強制リダイレクトを設定します。
関連 API 操作:
API 操作 | 説明 | 参照 |
BatchSetLiveDomainConfigs | 一度に複数のドメイン名を構成します。 Functions パラメーターの https_force レコードを使用して、HTTPS 強制リダイレクトを設定できます。 |
注意事項
設定 | 説明 |
HTTPS の 無効化 と 有効化 |
|
証明書/秘密鍵のアップロード |
|
証明書を表示する | 証明書は表示できます。ただし、秘密鍵には機密情報が含まれているため表示できません。証明書情報は安全に保管してください。 |
証明書の変更または編集 | 証明書を変更または編集できます。更新された証明書が有効になるまで 1 時間かかることに注意してください。注意して進めてください。 |