このトピックでは、HTTPSセキュアアクセラレーションの利点とシナリオ、およびその仕組みについて説明します。 このトピックでは、HTTPSセキュアアクセラレーションを設定する手順についても説明します。 HTTPSセキュアアクセラレーションは、クライアントとAlibaba Cloud CDNポイントオブプレゼンス (POP) 間のHTTPS接続を暗号化します。 送信中のデータセキュリティを保証します。
背景情報
Alibaba Cloud CDNコンソールでHTTPSセキュアアクセラレーションを設定すると、クライアントからPOPに送信されるリクエストはHTTPSで暗号化されます。
POPは、オリジンサーバーから要求されたリソースを取得し、オリジンサーバーのHTTPS設定に基づいてクライアントにリソースを返します。 エンドツーエンドのHTTPS暗号化を実装するには、オリジンサーバーのHTTPSを設定および有効にすることを推奨します。
制御ポリシー機能の動作
次の図は、HTTPSセキュアアクセラレーションの仕組みを示しています。
クライアントは HTTPS 経由でリクエストを送信します。
サーバは、公開鍵および秘密鍵を生成する。 あなたはあなた自身で鍵を準備するか、当局からそれらを要求することができます。
サーバは、公開鍵証明書をクライアントに送信します。
クライアントは証明書を検証します。
証明書が有効な場合、クライアントは乱数を鍵として生成します。 クライアントは、公開鍵を使用して乱数を暗号化し、暗号化された乱数をサーバに送信します。
証明書が無効な場合、SSL ハンドシェイクは失敗します。
説明有効な証明書は、次の要件を満たす必要があります。 証明書は、信頼できる認証局 (CA) によって発行されている。 証明書内の発行者のデジタル署名は、発行者の公開鍵で復号できます。 証明書のドメイン名はサーバーのドメイン名と同じです。
サーバは秘密鍵を使用して暗号化された乱数を復号します。
サーバーは、乱数を使用してデータを暗号化し、クライアントにデータを送信します。
クライアントは乱数を使用して、受信したデータを復号します。
メリット
HTTPSセキュアアクセラレーションには、次の利点があります。
HTTPSセキュアアクセラレーションは、盗聴、改ざん、なりすまし攻撃、および中間者 (MITM) 攻撃から通信を保護します。
HTTPS は、送信前にセッション ID や Cookie などの機密情報を暗号化します。 これにより、機密情報の漏洩のリスクが最小限に抑えられます。
HTTPSは、送信中にデータの整合性をチェックして、DNSハイジャックや改ざんなどのMITM攻撃からデータを保護します。
HTTPSは新しい標準です。HTTPを使用することを選択した場合、2018のWebサイトがセキュリティリスクにさらされる可能性があります。 HTTPを使用することを選択した場合、Webサイトはセキュリティリスクにさらされる可能性があります。主流のブラウザを使用してWebサイトにアクセスしたユーザーは、このWebサイトが安全でないことを求められます。 これにより、ユーザーエクスペリエンスが低下し、Web サイトへのアクセスが減少する可能性があります。
主流のブラウザは、検索結果でHTTPS web URLを優先します。 さらに、主流のブラウザはHTTP/2をサポートする前にHTTPSをサポートする必要があります。 HTTPS は、セキュリティ、市場での存在感、およびユーザーエクスペリエンスの観点から、より信頼性の高い選択肢です。 したがって、通信プロトコルを HTTPS にアップグレードすることを推奨します。
シナリオ
次の表に、HTTPSセキュアアクセラレーションのシナリオを示します。
シナリオ | 説明 |
エンタープライズアプリケーション | HTTPS は、エンタープライズ Web サイト上の機密情報を、ハイジャックや傍受から保護します。 顧客関係管理 (CRM) データやエンタープライズリソースプランニング (ERP) データなどの機密情報の漏洩は、企業に致命的な損害を与える可能性があります。 |
公共サービスのウェブサイト | HTTPSは、公共サービスWebサイトの機密情報をフィッシングやハイジャックなどの攻撃から保護します。 そのような情報の漏洩は、国民の信頼を損なう可能性があります。 |
支払いシステム | HTTPSは、支払いトランザクションで使用される顧客名や電話番号などの機密データを、ハイジャックやなりすまし攻撃から保護します。 機密データが漏洩した場合、攻撃者はそのようなデータを不正行為に使用できます。 これは、顧客と企業の両方に損失をもたらします。 |
API 操作 | API操作では、HTTPSを使用して、機密データや重要な指示などの重要な情報を暗号化できます。 これにより、ハイジャックから情報を保護します。 |
エンタープライズWebサイト | HTTPSは、ユーザーの信頼とエクスペリエンスを向上させます。 Webブラウザは、ドメイン検証済み (DV) または組織検証済み (OV) 証明書を使用するWebサイトのアドレスバーにロックアイコンを表示します。 エンタープライズ名は、拡張検証済み (EV) 証明書を含むWebサイトのロックアイコンとともに表示されます。 |
手順
証明書管理サービス から証明書を購入します。
HTTPSセキュアアクセラレーションを有効にするには、CDNのドメイン名に対応する証明書を所有する必要があります。 無料の証明書を申請するか、certificate Management Serviceから高度な証明書を購入できます。
HTTPS証明書を設定します。
ApsaraVideo VODコンソールにログインします。
左側のナビゲーションウィンドウで、構成管理をクリックします。
を選択します。
設定するドメイン名を見つけて、設定をクリックします。
[HTTPS] をクリックします。 [HTTPS証明書] セクションで、[変更] をクリックします。
設定項目を変更します。
説明SSL証明書の有効期限が切れているか無効である場合、再生エラーが発生する可能性があります。 必ず証明書を更新してください。
パラメーター
説明
証明書タイプ
証明書管理サービス
Certificate Management Serviceコンソールで、さまざまなプロバイダーおよびタイプのSSL証明書を申請できます。 詳細については、「証明書の申請」をご参照ください。
無料の証明書を申請した後、certificate TypeパラメーターをCertificate Management Serviceに設定し、無料の証明書を選択します。
無料のSSL証明書は通常、1〜2営業日以内に発行されます。 この期間中は、カスタム証明書をアップロードするか、証明書管理サービスから証明書を選択するかを選択できます。
説明申請書を提出した後、証明書は数時間から2営業日以内に発行される場合があります。 証明書の発行に必要な時間は、CAによって定義された検証プロセスに基づいています。
無料のSSL証明書は3ヶ月間有効です。 有効期限が切れる前に、HTTPSアクセラレーションを有効にするたびに新しい証明書を申請する必要はありません。 現在の証明書の有効期限が切れている場合にのみ、新しい証明書を申請する必要があります。
その他
適切な証明書が見つからない場合は、カスタム証明書をアップロードします。 カスタム証明書をアップロードするには、証明書名を入力し、証明書の内容と秘密鍵をアップロードする必要があります。 アップロードされた証明書は、証明書管理サービスに保存されます。 の証明書を点検できますSSL証明書管理ページに移動します。
説明カスタム証明書をアップロードするときに、入力した証明書名がすでにシステムに存在する場合は、証明書名を変更して証明書を再度アップロードできます。
証明書名
[証明書の種類] パラメーターが [証明書管理サービス] または [その他] に設定されている場合、証明書名を入力する必要があります。
コンテンツ
[証明書の種類] パラメーターが [その他] に設定されている場合、証明書の内容を入力する必要があります。 詳細については、[コンテンツ] フィールドの [PEMエンコーディング例] をクリックします。
プライベートキー
[証明書の種類] パラメーターが [その他] に設定されている場合、証明書の内容を入力する必要があります。 詳細については、プライベートキーフィールドの [PEMエンコーディング例] をクリックします。
OKをクリックします。
次のステップ
SSL証明書がアップロードされた後、1分以内に有効になります。 HTTPS証明書が有効になることを確認するには、アクセスリソースにHTTPSリクエストを送信します。 URLがブラウザのアドレスバーにロックアイコンで表示されている場合、HTTPSセキュアアクセラレーションは期待どおりに機能しています。