Existe-t-il un moyen d'utiliser HTTPS avec les CDN et CNAME CloudFront d'Amazon?


16

Nous utilisons le CDN CloudFront d'Amazon avec des CNAME personnalisés suspendus sous le domaine principal (static1.example.com). Bien que nous puissions briser cette apparence uniforme et utiliser les URL originales123123gglyw00.cloudfront.net pour utiliser HTTPS, existe-t-il un autre moyen?

Amazon ou tout autre fournisseur similaire propose-t-il un hébergement CDN HTTPS?

TLS et son chiffrement sélectif sont-ils disponibles pour une utilisation quelque part (SNI: Server Name Indication)?

Note de bas de page: en supposant que la réponse est non, mais juste dans l'espoir que quelqu'un le sache.

EDIT : utilise désormais Google App Engine https://developers.google.com/appengine/docs/ssl pour l'hébergement CDN avec prise en charge SSL.

Réponses:


18

CloudFront avec CNAME et HTTPS n'est pas pris en charge, consultez la première note dans la documentation CloudFront CNAME .

Je ne pense pas que les CDN à faible coût prennent en charge les CNAME et HTTPS ensemble, pour ce faire, ils devraient avoir un moyen pour vous de télécharger votre certificat non crypté sur leur réseau CDN.


2
Ou un courtier de la même manière que Google offre la configuration DNS avec Google Apps et eNom / GoDaddy. Il y a de l'espoir dans le futur avec en.wikipedia.org/wiki/Server_Name_Indication Je me demandais si un fournisseur avait déjà commencé à tester cette capacité.
Metalshark

1
Remarque en 2016: cette réponse est obsolète, veuillez consulter la réponse de John Mark Mitchell ci-dessous.
Benjamin

16

VEUILLEZ NOTER LES MODIFICATIONS ET MISES À JOUR CI-DESSOUS

Au moment où j'écris ceci (23 mai 2012), SSL est pris en charge via l'URL de distribution CloudFront seulement. Cela signifie que vous ne pouvez pas CNAME l'URL SSL. Concrètement, vous pouvez référencer un article via SSL comme:

https://[distribution].cloudfront.net/picture.jpg

mais non:

https://cdn.mydomain.com/picture.jpg

où cdn.mydomain.com est un CNAME vers [distribution] .cloudfront.net. À l'heure actuelle, vous obtiendrez des erreurs SSL.

Cela signifie que vous ne pouvez pas utiliser votre nom de domaine ou votre certificat SSL. Cela peut entraîner des problèmes avec les politiques interdomaines dans le navigateur et ajouter une complexité d'annulation à la maintenance d'un site.

Le personnel AWS m'a assuré que la prise en charge HTTPS pour la distribution des CNAME figure sur leur liste de fonctionnalités, mais qu'il a besoin de la prise en charge de la communauté pour la hiérarchisation. Pour aider dans cet effort, veuillez remplir l'enquête CloudFront (voir ci-dessous) et noter cette demande de fonctionnalité. Le personnel AWS utilise les données recueillies lors de l'enquête pour planifier et hiérarchiser la feuille de route CloudFront.

Assurez-vous de noter que la prise en charge de HTTPS CNAME est nécessaire lorsque vous répondez à CloudFront Survey: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: a remarqué un article du 11 juin 2012 selon lequel AWS avait mis à jour le lien de l'enquête:

Nouveau lien d'enquête: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Je pense qu'il vaut la peine de leur fournir des commentaires sur la façon de faire de CNAME + SSL une fonctionnalité prise en charge.

EDIT: Annoncé le 11 juin 2013, les certificats SSL personnalisés avec des adresses IP dédiées sont désormais pris en charge avec CloudFront sur AWS:

Voir l'annonce des fonctionnalités sur le blog AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Un élément à considérer avant de compter sur cette route, vous devez voir une valeur significative en s'écartant de la route https: // [distribution] .cloudfront.net car le prix est de 600 USD par mois pour l'hébergement de certificats SSL personnalisés.

EDIT: Annoncé le 5 mars 2014, les certificats SSL personnalisés utilisant l'indication de nom de serveur (SNI) sont désormais pris en charge avec CloudFront sur AWS - AUCUN FRAIS SUPPLÉMENTAIRE:

AWS prend désormais en charge les certificats SSL personnalisés via SNI. C'est ÉNORME car cela ouvre la possibilité de tirer parti de l'infrastructure existante d'AWS (adresses IP). En tant que tel, AWS ne facture aucun supplément pour ce service! Pour en savoir plus, lisez-le sur le blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Un élément à noter cependant, l'indication de nom de serveur (SNI) présente certains inconvénients qui doivent être pris en compte avant de s'y fier complètement. En particulier, il n'est pas pris en charge par certains navigateurs plus anciens. Si vous voulez mieux comprendre cela, voir: /programming/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS a annoncé le 21 janvier 2016 qu'ils fourniront des certificats SSL personnalisés GRATUITEMENT!

Pour en savoir plus sur l'annonce complète sur le site AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon a annoncé un nouveau service appelé AWS Certificate Manager, offrant des certificats SSL / TLS gratuits pour les ressources AWS.

Ces certificats sont généralement achetés auprès de fournisseurs de certificats tiers tels que Symantec, Comodo et RapidSSL et peuvent coûter de 50 $ à des centaines de dollars, selon le niveau de vérification d'identité effectué.

Le processus d'obtention d'un nouveau certificat a toujours été un peu compliqué, nécessitant la génération d'une demande de signature de certificat sur le serveur protégé, l'envoi de cette demande à un fournisseur de certificats, puis l'installation du certificat une fois reçu. Comme Amazon gère tout le processus, tout cela disparaît et les certificats peuvent être rapidement émis et provisionnés automatiquement sur les ressources AWS.

Il y a quelques limitations aux certificats. Amazon ne fournit que des certificats validés par domaine, une simple vérification où la validation du domaine a lieu par e-mail. Si vous souhaitez un certificat de validation étendue, vous pouvez vous en tenir à leurs fournisseurs de certificats actuels. De plus, les certificats ne peuvent pas être utilisés pour la signature de code ou le cryptage des e-mails.


3
developers.google.com/appengine/docs/ssl le documente. Après 2 ans à essayer d'obtenir qu'AWS prenne en charge la fonctionnalité, se voir proposer un vote à ce sujet lorsqu'un concurrent a déjà publié la fonctionnalité est trop peu trop tard.
Metalshark

cmon AWS, je suis d'accord avec @Metalshark et tout le monde sur ce fil. Je viens de remplir le formulaire de commentaires absurdement long d'AWS Cloudfront pour plaider en faveur de CNAME-HTTPS, mais si Google App Engine le propose et que cette question a 2 ans, vous devez faire quelque chose dès que possible !!!
tim peterson

Je ne vois rien sur la page Google App Engine concernant les CDN. AWS offre déjà un support SSL gratuit pour tout le reste, mais le support CDN est plus difficile. Ne me citez pas, mais je soupçonne que c'est parce qu'il y a plusieurs adresses IP impliquées.
Rupert Rawnsley

Merci d'avoir gardé cette réponse à jour, John. Je viens de supprimer un tas de commentaires obsolètes qui ont été incorporés dans la réponse. Il serait probablement plus facile de lire la réponse si vous venez de supprimer les informations obsolètes plutôt que d'utiliser la suppression. L'historique complet des révisions de votre réponse est disponible en cliquant sur le lien qui indique quand vous avez modifié la réponse pour la dernière fois.
Stephen Ostermiller
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.