概要
HTTPS は HTTP を SSL/TLS プロトコルでカプセル化しているので、HTTPS のセキュリティの基盤となるのは SSL/TLS です。
SSL アクセラレーションの利点:
- 重要なユーザー情報は、送信中に暗号化され、セッション ID や Cookie などの機密情報の漏洩や他の潜在的な安全上の危険を防ぎます。
- 送信中にデータの完全性検証が行われ、DNS やコンテンツが第三者にハイジャック、改ざん、および MITM (Man-in-the-Middle) 攻撃されるのを防ぎます。詳細については、「HTTPS を使用してトラフィックの不正アクセスを防止する」(HTTPS を使用してトラフィックの不正アクセスを防止する) をご参照ください。
Alibaba Cloud DCDN は、SSL アクセラレーションを提供します。SSL アクセラレーションモードを有効にしてから、CDN ドメインの証明書と秘密鍵をアップロードする必要があります。DCDN では、証明書を表示、無効化、有効化、および編集することもできます。
無料の証明書を申請するか、Alibaba Cloud SSL Certificates Service で高度な証明書を購入することができます。Alibaba Cloud SSL Certificates Service で購入した証明書は、証明書をアップロードしなくても DCDN コンソールで直接選択することができます。
証明書が正しく設定され、有効になっている場合、HTTP アクセスと HTTPS アクセスの両方がサポートされます。証明書が秘密鍵と一致しないか、無効になっている場合は、HTTP アクセスのみがサポートされます。
SNI オリジンフェッチは、 サポートされていません。
制限とガイドライン
設定
SSL アクセラレーションでは、ワイルドカードドメイン名がサポートされています。
SSL アクセラレーションを有効にするオプションと、無効にするオプションが用意されています。
- 有効:証明書の変更がサポートされます。デフォルトで、HTTP リクエストと HTTPS リクエストの両方がサポートされており、強制リダイレクトがサポートされています。
- 無効:HTTPS リクエストはサポートされません。証明書と秘密鍵の情報は保持されません。証明書を再度有効にするには、証明書と秘密鍵を再アップロードする必要があります。
秘密鍵は機密情報であるため、表示することはできません。証明書情報は、安全に保存してください。
証明書の変更が可能です。変更が有効になるまで、10 分ほどかかります。証明書の変更は、慎重に行ってください。
課金
SSL アクセラレーションは、付加価値サービスです。有効化された時点で、HTTPS リクエスト数に基づいて課金が発生します。課金の基準については、DCDN プロダクトページをご参照ください。
注意:HTTPS は、リクエスト数に基づいて別途課金されます。料金は、CDN トラフィックパッケージやサブスクリプションプランには含まれません。HTTPS サービスを有効化する前に、口座に十分な残高があることを確認し、未払いが発生しないようにしてください。未払いが発生した場合、DCDN サービスに影響を及ぼす可能性があります。
証明書
DCDN ドメインの SSL アクセラレーションを有効にするには、証明書と秘密鍵を PEM 形式でアップロードする必要があります。詳細は、「証明書の形式の説明」をご参照ください。
注意:DCDN は、Nginx をベースとする Tengine サービスを採用しているため、Nginx で読み取り可能な証明書、つまり PEM 証明書のみがサポートされています。
SNI 情報を含む TLS ハンドシェイクのみがサポートされています。
アップロードする証明書と秘密鍵が、一致する必要があります。一致しない場合、検証中にエラーが発生します。
証明書の更新が有効になるまで、10 分ほどかかります。
パスワードで保護された秘密鍵は、サポートされていません。
手順
ステップ 1:証明書の購入
SSL アクセラレーションを有効にするには、DCDN ドメイン名に関連付けられた証明書が必要です。無料の証明書を申請するか、Alibaba Cloud SSL Certificates Service で高度な証明書を購入することができます。
ステップ 2:DCDN ドメイン名の設定
[ドメイン名] ページでドメイン名を選択し、[設定] をクリックします。
[HTTPS 設定] > [SSL 証明書] に移動し、[変更] をクリックして [SSL アクセラレーション] を有効にします。
注意:SSL アクセラレーションは、付加価値サービスです。有効化された時点で、HTTPS リクエスト数に基づいて課金が発生します。詳細については、DCDN プロダクトページをご参照ください。
証明書を選択します。
無料の証明書を申請するか、Alibaba Cloud SSL Certificates Service で高度な証明書を購入することができます。Alibaba Cloud SSL Certificates Service で購入した証明書を、証明書名を使用して DCDN ドメインに関連付けることができます。
適用可能な証明書が証明書リストに存在しない場合は、カスタム証明書をアップロードできます。この場合、証明書の名前を設定し、証明書情報と秘密鍵をアップロードする必要があります。この証明書は、Alibaba Cloud SSL Certificates Service に保存され、[マイ証明書] に表示されます。
- PEM 形式の証明書のみがサポートされています。詳細については、「証明書の形式の説明」をご参照ください。
[強制リダイレクト] 機能を設定すると、ユーザーのリクエストをリダイレクトすることができます。
たとえば、[強制リダイレクト] が有効化されていて、ユーザーが HTTP リクエストを送信した場合 、サーバーは 302 リダイレクトのレスポンスを返し、元の HTTP リクエストは HTTPS リクエストにリダイレクトされます。
- デフォルト:HTTP リクエストと HTTPS リクエストがサポートされます。
- HTTP から HTTPS:ユーザーのリクエストは、HTTPS リクエストにリダイレクトされます。
- HTTPS から HTTP:ユーザーのリクエストは、HTTP リクエストにリダイレクトされます。
ステップ 3:証明書が有効かどうかの確認
SSL 証明書の設定を完了し、証明書が有効になった後 (約 1 時間後)、HTTPS を使用してリソースにアクセスします。次の図に示すように、ブラウザに緑色の HTTPS のアイコンが表示されている場合、Web サイトとのプライベート接続が確立されており、SSL アクセラレーションが有効になっていることを示します。