Amazon Web Services ブログ

Amazon CloudFrontを使えば、コンテンツを世界中の人々に、高いセキュリティー、低レイテンシー、高速な転送速度で配信することが出来ることは多分皆さんご存知でしょう。 CloudFrontは、オリジンとエッジ間および、エッジとクライアント間で、暗号化された安全なHTTPS接続の利用をサポートします。 このオプションを有効にすることで、オリジンからエンドユーザーの間のデータ転送を安全で、暗号化された形で行うことができます。

本日、CloudFrontのSSL実装について、パフォーマンスおよびセキュリティにいくつかの追加の改良を加えました。 これらの機能は、自動的に有効になり、デフォルトのCloudFrontのSSL証明書だけでなく、独自のSSL証明書(SNIとDedicated IPの両方)にも適用されます。

パフォーマンスの強化
Session TicketとOCSP Staplingを使うことにより、SSL接続の性能を改善いたしました。 これらの機能はいずれも、SSLプロトコルに組み込まれておりますので、これらを利用するために、コードを修正したり、設定を変更したりする必要はありません。言い換えれば、お客様（およびお客様のユーザー）はこの改善の恩恵をすでに受けているということです。

SSL Session Tickets - SSLハンドシェイクプロセスでは、 クライアントとサーバーは、ネゴシエーションの儀式の一環として、複数のパケットを交換します。その結果、特定の暗号化モデル(cipher)および、証明書を使うことの合意が得られます。このプロセスは、接続処理の待ち時間があったり、計算量も多いのでかなり時間のかかる処理になります。接続が切断された場合、このプロセスを再びやり直さなければなりません。接続の安全性を維持しながら、この無駄な手続きのいくつかを回避するために、CloudFrontは、SSL Session Ticketsを実装いたしました。 ネゴシエーションが完了すると、SSLサーバーは暗号化されたセッションチケットを作成し、クライアントにそれを返します。 後に、接続を再開するような場合に、一からネゴシエーションをやり直す代わりに、このチケットをサーバーに渡します。チケットは、以前のSSLハンドシェイクの一環として、すでに合意がとれているということをサーバーに思い出させます。

OCSP Stapling - SSL証明書は、使用される前に検証される必要があります。そのために、証明書の認証局(CA)に、証明書が正当であり、失効していないことを保証するために、確認する必要があります。 OCSP Staplingのサポートがない場合、クライアント(例えばウェブブラウザ)がこのCAとのインタラクションの面倒をみなければなりません。これもコストの高い作業で、時間がかかります。 CloudFrontはOCSP Staplingを実装いたしました。 このアプローチは、結果をキャッシュし、SSLハンドシェイク内のパケットのひとつに添付することで、ドメイン名の名前解決(CAを見つけるための)と証明書の検証にかかる負担をCloudFront側に移動します。 サーバー側で処理してくれるため、クライアントは、ドメイン名の名前解決や証明書の検証を行う必要がなくなります。

セキュリティーの強化
Perfect Forward Secrecy および 新しいSSL暗号のサポートを追加いたしました。

Perfect Forward Secrecy - この機能はSSLセッション毎に新しい秘密鍵を作成します。作成された秘密鍵はそのセッションでのみ、復号するのに利用可能なものです。

新しい暗号(Chipher) - CloudFrontは高度なRSA-AES暗号のセットをサポートいたしました。 サーバーとクライアントは、SSLハンドシェイクプロセスの一部として、自動的に暗号に同意します。

今すぐご利用いただけます
これらの新機能は、追加のコストなしに、本日よりご利用可能となっておりますので、今すぐお試しいただけます！ さらに詳しい情報については、CloudFrontの料金ページをご覧ください。

-- Jeff;

この記事はAWSシニアエバンジェリスト Jeff BarrのAmazon Web Services Blogの記事、 New SSL Features for Amazon CloudFront - Session Tickets, OCSP Stapling, Perfect Forward Secrecyを 堀内康弘 (Facebook, Twitter)が翻訳したものです。