HTTPS

最終更新日:2023-03-14 09:21:07

1 機能紹介

1.1 概要

HTTPSは企業(アップルはすべてのiOSアプリにHTTPS接続を求めているし、google chromeはHTTPサイトを「安全ではない」と表示している)では標準となっている。HTTPSはHTTPプレーンテキスト転送中に発生するハイジャック、改ざん、フィッシングなどの問題を解決する効果があるからである。

CDNetworksは、顧客ごとに多様なHTTPSソリューションを提供できる。HTTPS関連の機能およびソリューションについては、以下を対応する。

  • TLS エラースタート
  • HTTPS 相互認証
  • SNI
  • シームレス展開ソリューション
  • 二重証明配置ソリューション
  • キーレス展開ソリューション

TLSエラースタート、HTTPS相互認証、SNIは標準的でよく知られているHTTPSの特性なので、詳細については触れない。本機能説明書では、CDNetworksのシームレス配置方式、二重証明配置方式、およびキーレス配置方式について説明する。

1.2 適用製品

  • 内容加速
  • 動的ウェブ加速
  • メディア加速
  • メディア加速生中継

2 機能説明

2.1 シームレス配置方式

2.1.1 適用シーン

顧客が秘密鍵を共有したい時、顧客自身が簡単にSIポータル上に証明書をアップロードして配置することができる従来の配置解決策を推奨する。

2.1.2 ソリューション説明

image.png

CDNetworksは、クライアントに証明書管理プラットフォームを提供し、クライアントの公的証明書と私的証明書をアップロードしてもらう。シームレスHTTPSアクセラレーションソリューション、CDNプラットフォーム配備証明書を対応する。証明書配置が成功すると、クライアントのHTTPSリクエストが対応される。

2.2 二重証明配置方式

2.2.1 適用シーン

セキュリティ需要のために秘密鍵をCDNetworksと共有したくないが、別の証明書を支払うことを望む顧客には、二重証明書配置方式を採用することを推奨する。

2.2.2 ソリューション説明

image.png

CDNetworksは、エンドユーザとのHTTPS接続を確立するための別の証明書(証明書A)をクライアント(証明書Aはクライアントのドメインに参加する)に提供することができ、CDNが源サーバに要求を送信するときに、クライアント自身の証明書(証明書B)を使用してHTTPS接続を確立することができる。クライアントの秘密鍵を使わずに、源サーバとエンドユーザ間のHTTPS通信を対応することができる。

2.3 キーレス配置方式

2.3.1 適用シーン

もし、顧客は:

1.セキュリティ上の理由で秘密鍵をCDNetworksと共有したくない。

2.別の証明書を支払うことを望まない;

\3. CDNetworksの証明書ソフトをオリジナルサーバーにインストールしたい。

私たちは顧客にキーレスデプロイソリューションを提供することができる。

2.3.2 ソリューション説明

キーレス配置の仕組み

image.png

1.クライアントはCDNetworksの証明書ソフトウェアを源サーバ上に展開する。

2.ユーザーはHTTPSリクエストを開始し、SSLハンドシェイクを行う。このセッションでは、クライアントは事前マスターキーを生成し、公開キー (以下のように従来のSSLハンドシェイク処理が見られる。プリマスター秘密は、SSLハンドシェイクステップ3において生成される。)を使用して暗号化する。

image.png

  1. CDNは暗号化されたプリマスター秘密を源サーバに渡す;

  2. 源サーバは事前マスター鍵を秘密鍵で解読し、CDNetworksの証明書ソフトウェアは事前マスター鍵をCDNエッジポップに送信する。

  3. プリマスター秘密を使用して、CDNとエンドユーザー間のSSL接続を確立する。

2.3.3 注意事項

  1. 証明書ソフトはプリマスター秘密をCDNに渡す。これにより、CDNはクライアント秘密鍵を必要とせずにSSLハンドシェイクを確立することができる。

  2. キーレス配置ソリューションの使用は、CDNが源からプリマスター秘密を取得する必要があるので、O2Bリクエストを増加させる。