it-swarm.it

Esiste un modo per utilizzare HTTPS con i CDN e i CNAME CloudFront di Amazon?

Utilizziamo il CDN CloudFront di Amazon con CNAME personalizzati sospesi nel dominio principale (static1.example.com). Anche se possiamo rompere questo aspetto uniforme e utilizzare gli URL original what123wigglyw00.cloudfront.net per utilizzare HTTPS, esiste un altro modo?

Amazon o altri provider simili offrono hosting CDN HTTPS?

TLS e la sua crittografia selettiva sono disponibili per l'uso da qualche parte (SNI: Server Name Indication)?

Nota a piè di pagina: supponendo che la risposta sia no, ma solo nella speranza che qualcuno lo sappia.

EDIT: ora utilizza Google App Engine https://developers.google.com/appengine/docs/ssl per Hosting CDN con supporto SSL.

16
Metalshark

CloudFront con CNAME e HTTPS non è supportato, vedere la prima nota nella documentazione CloudFront CNAME .

Non credo che nessuno dei CDN a basso costo abbia il supporto di CNAME e HTTPS insieme, per farlo dovrebbero avere un modo per caricare il tuo certificato non crittografato sulla loro rete CDN.

18
carson

SI PREGA DI NOTARE LE MODIFICHE E AGGIORNAMENTI QUI SOTTO

Al momento della mia scrittura (23 maggio 2012), SSL è supportato tramite l'URL di distribuzione di CloudFront solo. Significato, non puoi CNAME l'URL SSL. Concretamente, puoi fare riferimento a un articolo via SSL come:

https://[distribution].cloudfront.net/picture.jpg

ma no:

https://cdn.mydomain.com/picture.jpg

dove cdn.mydomain.com è un CNAME di [distribution] .cloudfront.net. Al momento riceverai errori SSL.

Ciò significa che non è possibile utilizzare il nome di dominio o il certificato SSL. Ciò può causare problemi con le politiche crossdomain nel browser e aggiungere complessità di annullamento alla manutenzione di un sito.

Il personale di AWS mi ha assicurato che il supporto HTTPS per i CNAME di distribuzione è nel loro elenco di funzionalità ma che necessita del supporto della comunità per stabilire le priorità. Per aiutare in questo sforzo compila il sondaggio CloudFront (vedi sotto) e prendi nota di questa richiesta di funzionalità. Il personale di AWS utilizza i dati raccolti dall'indagine per pianificare e stabilire le priorità della roadmap di CloudFront.

Assicurati di notare che il supporto HTTPS CNAME è necessario quando fai il sondaggio CloudFront: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: ho notato un post dall'11 giugno 2012 che AWS aveva aggiornato il link del sondaggio:

Nuovo link al sondaggio: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Penso che valga la pena di fornire loro feedback su come rendere CNAME + SSL una funzionalità supportata.

EDIT: annunciato l'11 giugno 2013, certificati SSL personalizzati con IP dedicati sono ora supportati con CloudFront su AWS:

Vedi l'annuncio della funzione sul blog AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

Un elemento da considerare prima di contare su questa strada, è necessario vedere un valore significativo deviando dalla rotta https: // [distribution] .cloudfront.net poiché il prezzo è $ 600 USD al mese per l'hosting certificati SSL personalizzati.

EDIT: annunciato il 5 marzo 2014, certificati SSL personalizzati che utilizzano Server Name Indication (SNI) sono ora supportati con CloudFront su AWS - NO COSTO AGGIUNTIVO:

AWS ora supporta certificati SSL personalizzati tramite SNI. Questo è ENORME in quanto apre la possibilità di sfruttare l'infrastruttura esistente di AWS (indirizzi IP). Pertanto, AWS non applica alcun costo aggiuntivo per questo servizio! Per saperne di più, leggi sul post sul blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

Un elemento che dovrebbe essere notato, tuttavia, Server Name Indication (SNI) presenta alcuni svantaggi che dovrebbero essere considerati prima di fare affidamento su di esso completamente. In particolare non è supportato da alcuni browser meno recenti. Se vuoi capirlo meglio, vedi: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS annunciato il 21 gennaio 2016, fornirà certificati SSL personalizzati GRATIS!

Per leggere l'annuncio completo sul sito AWS: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon ha annunciato un nuovo servizio chiamato AWS Certificate Manager, che offre certificati SSL/TLS gratuiti per le risorse AWS.

Questi certificati vengono generalmente acquistati da fornitori di certificati di terze parti come Symantec, Comodo e RapidSSL e possono costare ovunque da $ 50 a centinaia di dollari, a seconda del livello di verifica dell'identità eseguita.

Il processo di ottenimento di un nuovo certificato è sempre stato un po 'complicato, richiedendo la generazione di una Richiesta di firma certificato sul server protetto, inviando tale richiesta a un fornitore di certificati e quindi installando il certificato una volta ricevuto. Poiché Amazon sta gestendo l'intero processo, tutto ciò scompare e i certificati possono essere rapidamente emessi e forniti automaticamente sulle risorse AWS.

Vi sono alcune limitazioni ai certificati. Amazon fornisce solo certificati convalidati dal dominio, una semplice verifica in cui la convalida del dominio avviene tramite e-mail. Se si desidera un certificato di convalida estesa, è possibile attenersi ai rispettivi fornitori di certificati. Inoltre, i certificati non possono essere utilizzati per la firma del codice o la crittografia e-mail.

16