HTTPS

1 機能紹介

1.1 概要

HTTPSは企業(アップルはすべてのiOSアプリにHTTPS接続を求めているし、google chromeはHTTPサイトを「安全ではない」と表示している)では標準となっている。HTTPSはHTTPプレーンテキスト転送中に発生するハイジャック、改ざん、フィッシングなどの問題を解決する効果があるからである。

CDNetworksは、顧客ごとに多様なHTTPSソリューションを提供できる。HTTPS関連の機能およびソリューションについては、以下を対応する。

• TLS エラースタート
• HTTPS 相互認証
• SNI
• シームレス展開ソリューション
• 二重証明配置ソリューション
• キーレス展開ソリューション

TLSエラースタート、HTTPS相互認証、SNIは標準的でよく知られているHTTPSの特性なので、詳細については触れない。本機能説明書では、CDNetworksのシームレス配置方式、二重証明配置方式、およびキーレス配置方式について説明する。

1.2 適用製品

• 内容加速
• 動的ウェブ加速
• メディア加速
• メディア加速生中継

2 機能説明

2.1 シームレス配置方式

2.1.1 適用シーン

顧客が秘密鍵を共有したい時、顧客自身が簡単にSIポータル上に証明書をアップロードして配置することができる従来の配置解決策を推奨する。

2.1.2 ソリューション説明

CDNetworksは、クライアントに証明書管理プラットフォームを提供し、クライアントの公的証明書と私的証明書をアップロードしてもらう。シームレスHTTPSアクセラレーションソリューション、CDNプラットフォーム配備証明書を対応する。証明書配置が成功すると、クライアントのHTTPSリクエストが対応される。

2.2 二重証明配置方式

2.2.1 適用シーン

セキュリティ需要のために秘密鍵をCDNetworksと共有したくないが、別の証明書を支払うことを望む顧客には、二重証明書配置方式を採用することを推奨する。

2.2.2 ソリューション説明

CDNetworksは、エンドユーザとのHTTPS接続を確立するための別の証明書(証明書A)をクライアント(証明書Aはクライアントのドメインに参加する)に提供することができ、CDNが源サーバに要求を送信するときに、クライアント自身の証明書(証明書B)を使用してHTTPS接続を確立することができる。クライアントの秘密鍵を使わずに、源サーバとエンドユーザ間のHTTPS通信を対応することができる。

2.3 キーレス配置方式

2.3.1 適用シーン

もし、顧客は:

1.セキュリティ上の理由で秘密鍵をCDNetworksと共有したくない。

2.別の証明書を支払うことを望まない;

\3. CDNetworksの証明書ソフトをオリジナルサーバーにインストールしたい。

私たちは顧客にキーレスデプロイソリューションを提供することができる。

2.3.2 ソリューション説明

1.クライアントはCDNetworksの証明書ソフトウェアを源サーバ上に展開する。

2.ユーザーはHTTPSリクエストを開始し、SSLハンドシェイクを行う。このセッションでは、クライアントは事前マスターキーを生成し、公開キー (以下のように従来のSSLハンドシェイク処理が見られる。プリマスター秘密は、SSLハンドシェイクステップ3において生成される。）を使用して暗号化する。

3. CDNは暗号化されたプリマスター秘密を源サーバに渡す;

4. 源サーバは事前マスター鍵を秘密鍵で解読し、CDNetworksの証明書ソフトウェアは事前マスター鍵をCDNエッジポップに送信する。

5. プリマスター秘密を使用して、CDNとエンドユーザー間のSSL接続を確立する。

2.3.3 注意事項

1. 証明書ソフトはプリマスター秘密をCDNに渡す。これにより、CDNはクライアント秘密鍵を必要とせずにSSLハンドシェイクを確立することができる。

2. キーレス配置ソリューションの使用は、CDNが源からプリマスター秘密を取得する必要があるので、O2Bリクエストを増加させる。