HTTPS配信について

エッジキャッシュCDNは、SSL対応プランにおいてカスタムドメインおよび共有サブドメインでHTTPS通信をおこなう事ができます。

暗号化プロトコル

TLS は、従来の SSL (Secure Socket Layer) の後継で、よりセキュアなプロトコルです。

TLSv1.2 TLSv1.3 を使用したリクエストのみをサポートします。

注釈

TLSv1.1は2022年6月30日以降ご利用ができなくなります。

QUIC1.0 の通信に対応しています。

注釈

QUICでの接続は、alt-svcヘッダーの追加及びクライアント側でUDP:443にて通信できる必要があります。

サポートされる暗号化

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

証明書の種類

お持ち込み証明書

SNI (Server Name Indication) 形式の証明書をご利用いただけます。 SNI 証明書をCDNでご利用する手順は以下の通りです。

  • お客様から 弊社サポート宛 に証明書(中間証明書・秘密鍵)一式をご提供いただきます。

  • 弊社で割り当てキャッシュサーバーの全てに、証明書のインストールをおこないます。

注釈

ドメインフロンティング対策によりHTTPS通信は以下の条件においてエラーレスポンスを返却します。 ※弊社サブドメインを利用する場合は、この制限は適用されません。

  • SNIの値が空の場合

  • SNIの値とホストヘッダーが異なる場合

  • ドメインのホスト名にアンダースコアが含まれる場合

代行取得証明書

弊社で代行取得した証明書を利用することができます。 有効期限が30日をきると、取得時にご指定頂いた認証方式(メール認証など)宛に認証局から承認申請メールが届くため、期限の3営業日前までに承認のお手続きをお願い致します。

universal SSL for Free(無料SSL証明書)

無料のSSL証明書をご希望の場合、新規ご契約の場合お申し込みフォームから、既にご利用中のサービスはプラン変更フォームから申請いただく必要が御座います。 加えて、以下の形式で既存DNSサーバーにてDNSレコードのご登録をお願い致します。

  • ドメイン名:test.redbox.ne.jp

  • ご契約ID:usertestid001

DNSレコード名フォーマット: _acme-challenge.FQDN.お客様のCID.acme-auth.redbox.ne.jp

ご登録頂くDNSレコード例: _acme-challenge.test.redbox.ne.jp CNAME _acme-challenge.test.redbox.ne.jp.usertestid001.acme-auth.redbox.ne.jp

注釈

universal SSL for Freeは、プライマリー認証局としてGoogle Trust Servicesを利用しています。

何らかの原因でGoogle Trust Servicesが利用できない場合は、Let's Encryptなどその他認証局での自動発行を行います。

  • お客様のDNSレコード不備により証明書が発行されない場合、弊社から通知は行われません。

  • 有効期限15日を切った場合、何らかの問題が発生している可能性がありますのでサポートまでお問い合わせください。

HTTP/2プトロコルの対応

エッジキャッシュCDN全サービスでHTTP/2プロトコル(ALPN/NPN)に標準対応しています。

HTTP/3プトロコルの対応

エッジキャッシュCDNはHTTP/3をサポートしQUICにて動作します。

HSTS(HTTP Strict Transport Security) の対応

HSTSとは、HTTPで接続した際に強制的にHTTPSへリダイレクトし以降のそのドメインへの接続はすべてHTTPSとする機能です。 HSTSに対応するためには、オリジンサーバーにて以下の様なHTTPヘッダーをレスポンスするよう構成して下さい。

Strict-Transport-Security:max-age=有効期限(秒数);includeSubDomains