it-swarm-id.com

Apakah ada cara menggunakan HTTPS dengan CloudNront CDN dan CNAME Amazon?

Kami menggunakan Amazon CloudFront CDN dengan CNAME khusus yang tergantung di bawah domain utama (static1.example.com). Meskipun kita dapat memecah penampilan seragam ini dan menggunakan URL asli whatever123wigglyw00.cloudfront.net untuk memanfaatkan HTTPS, apakah ada cara lain?

Apakah Amazon atau penyedia serupa lainnya menawarkan hosting HTTPS CDN?

Apakah TLS dan enkripsi selektifnya tersedia untuk digunakan di suatu tempat (SNI: Server Name Indication)?

Catatan kaki: mengasumsikan bahwa jawabannya adalah tidak, tetapi hanya dengan harapan seseorang tahu.

SUNTING: Sekarang menggunakan Google App Engine https://developers.google.com/appengine/docs/ssl untuk Hosting CDN dengan dukungan SSL.

16
Metalshark

CloudFront dengan CNAME dan HTTPS tidak didukung, lihat catatan pertama di Dokumentasi CloudFront CNAME .

Saya rasa CDN mana pun yang berbiaya rendah tidak memiliki dukungan untuk CNAME dan HTTPS bersama-sama, untuk melakukan itu mereka harus memiliki beberapa cara bagi Anda untuk mengunggah sertifikat tidak terenkripsi Anda ke jaringan CDN mereka.

18
carson

HARAP PERHATIKAN EDIT & PEMBARUAN DI BAWAH

Pada saat saya menulis ini (23 Mei 2012), SSL didukung melalui URL distribusi CloudFront hanya. Artinya, Anda tidak dapat CNAME URL SSL. Secara konkret, Anda dapat merujuk item melalui SSL sebagai:

https://[distribution].cloudfront.net/picture.jpg

tapi tidak:

https://cdn.mydomain.com/picture.jpg

di mana cdn.mydomain.com adalah CNAME untuk [distribusi] .cloudfront.net. Saat ini Anda akan mendapatkan kesalahan SSL.

Ini berarti Anda tidak dapat menggunakan nama domain atau sertifikat SSL. Ini dapat menyebabkan masalah dengan kebijakan lintas domain di peramban serta menambah kerumitan untuk pemeliharaan situs.

Saya telah diyakinkan oleh staf AWS bahwa dukungan HTTPS untuk distribusi CNAME ada dalam daftar fitur mereka tetapi membutuhkan dukungan komunitas untuk penentuan prioritas. Untuk membantu dalam upaya ini, silakan isi survei CloudFront (lihat di bawah) dan perhatikan permintaan fitur ini. Staf AWS menggunakan data yang dikumpulkan dari survei untuk merencanakan dan memprioritaskan peta jalan CloudFront.

Pastikan untuk mencatat bahwa dukungan HTTPS CNAME diperlukan ketika Anda mengikuti Survei CloudFront: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: Melihat posting dari 11 Juni 2012 bahwa AWS telah memperbarui tautan survei:

Tautan Survei Baru: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Saya pikir ini layak untuk memberi mereka umpan balik tentang menjadikan CNAME + SSL fitur yang didukung.

EDIT: Diumumkan pada 11 Juni 2013, Sertifikat SSL khusus dengan IP khusus sekarang didukung dengan CloudFront pada AWS:

Lihat pengumuman fitur di AWS Blog: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

Satu item pertimbangan sebelum menghitung untuk melanjutkan rute ini, Anda perlu melihat nilai signifikan dari menyimpang dari https: // [distribusi] .cloudfront.net rute karena harganya $ 600 USD per bulan untuk hosting sertifikat SSL khusus.

EDIT: Diumumkan pada 5 Maret 2014, Sertifikat SSL khusus menggunakan Indikasi Nama Server (SNI) sekarang didukung dengan CloudFront pada AWS - NO BIAYA TAMBAHAN:

AWS sekarang mendukung Sertifikat SSL khusus melalui SNI. Ini SANGAT besar karena membuka kemungkinan memanfaatkan infrastruktur AWS yang sudah ada (alamat IP). Dengan demikian, AWS tidak mengenakan biaya tambahan untuk layanan ini! Untuk mempelajari lebih lanjut, baca tentang hal itu di posting blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

Satu hal yang perlu dicatat, Indikasi Nama Server (SNI) memang memiliki beberapa kekurangan yang harus dipertimbangkan sebelum benar-benar mengandalkannya. Secara khusus itu tidak didukung oleh beberapa browser lama. Jika ingin memahami ini lebih baik, lihat: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS diumumkan pada 21 Januari 2016, mereka akan memberikan Sertifikat SSL khusus secara GRATIS!

Untuk membaca tentang pengumuman lengkap di situs AWS: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon telah mengumumkan layanan baru yang disebut AWS Certificate Manager, yang menawarkan sertifikat SSL/TLS gratis untuk sumber daya AWS.

Sertifikat ini biasanya dibeli dari penyedia sertifikat pihak ketiga seperti Symantec, Comodo dan RapidSSL dan dapat berharga antara $ 50 hingga ratusan dolar, tergantung pada tingkat verifikasi identitas yang dilakukan.

Proses memperoleh sertifikat baru selalu sedikit berantakan, membutuhkan generasi Permintaan Penandatanganan Sertifikat di server yang dilindungi, mengirimkan permintaan itu ke penyedia sertifikat, dan kemudian memasang sertifikat setelah diterima. Karena Amazon mengelola seluruh proses, semua itu hilang dan sertifikat dapat dengan cepat dikeluarkan dan disediakan pada sumber daya AWS secara otomatis.

Ada beberapa batasan pada sertifikat. Amazon hanya menyediakan sertifikat yang divalidasi domain, verifikasi sederhana tempat validasi domain dilakukan melalui email. Jika Anda menginginkan sertifikat Validasi Diperpanjang, Anda dapat tetap menggunakan penyedia sertifikat mereka saat ini. Selain itu, sertifikat tidak dapat digunakan untuk menandatangani kode atau enkripsi email.

16