web-dev-qa-db-ja.com

AmazonのCloudFront CDNおよびCNAMEでHTTPSを使用する方法はありますか?

メインドメイン(static1.example.com)の下にあるカスタムCNAMEでAmazonのCloudFront CDNを使用します。この統一された外観を壊し、元のwhatever123wigglyw00.cloudfront.net URLを使用してHTTPSを利用できますが、別の方法はありますか?

Amazonや他の同様のプロバイダーはHTTPS CDNホスティングを提供していますか?

TLSとその選択的暗号化はどこかで使用できますか(SNI:Server Name Indication)?

脚注:答えはノーであると仮定しますが、誰かが知っていることを望んでいます。

編集:現在Google App Engineを使用しています https://developers.google.com/appengine/docs/ssl for SSLをサポートするCDNホスティング。

16
Metalshark

CNAMEおよびHTTPSを使用するCloudFrontはサポートされていません。 CloudFront CNAME documentation の最初の注意を参照してください。

低価格のCDNがCNAMEとHTTPSを一緒にサポートしているとは思えません。そのためには、暗号化されていない証明書をCDNネットワークにアップロードする何らかの方法が必要になります。

18
carson

以下の編集と更新に注意してください

これを書いている時点(2012年5月23日)では、SSLはCloudFrontディストリビューションURLを介してサポートされています のみ。つまり、SSL URLをCNAMEすることはできません。 具体的には、SSLを介して次のようにアイテムを参照できます。

https://[distribution].cloudfront.net/picture.jpg

だがしかし:

https://cdn.mydomain.com/picture.jpg

cdn.mydomain.comは[distribution] .cloudfront.netへのCNAMEです。現在、SSLエラーが発生します。

これは、ドメイン名またはSSL証明書を使用できないことを意味します。これにより、ブラウザのクロスドメインポリシーで問題が発生する可能性があり、サイトのメンテナンスに元に戻す複雑さが追加されます。

配布CNAMEのHTTPSサポートは機能リストに載っていますが、優先順位付けにはコミュニティサポートが必要であるとAWSスタッフから確信しています。この取り組みを支援するために、CloudFrontアンケート(下記を参照)に記入し、この機能リクエストに注意してください。 AWSのスタッフは、調査から収集したデータを使用して、CloudFrontロードマップの計画と優先順位付けを行います。

CloudFront Surveyを実施する際には、HTTPS CNAMEサポートが必要であることに注意してください。 http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

編集:2012年6月11日の投稿で、AWSが調査リンクを更新したことに気付きました。

新しい調査リンク: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

CNAME + SSLをサポートされる機能にすることについてフィードバックを提供する価値があると思います。

編集:2013年6月11日に発表、専用SSLを使用したカスタムSSL証明書がAWS上のCloudFrontでサポートされるようになりました:

AWSブログの機能発表を参照してください: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

このルートを使用する前に考慮すべき項目の1つは、価格設定がホスティングの月額$ 600であるため、 https:// [distribution] .cloudfront.net ルートから逸脱することから大きな価値を確認する必要があることです。カスタムSSL証明書。

編集:2014年3月5日に発表、サーバー名表示(SNI)を使用したカスタムSSL証明書がAWSのCloudFrontでサポートされるようになりました-いいえ追加料金:

AWSは、SNIを介したカスタムSSL証明書をサポートするようになりました。これは、AWSの既存のインフラストラクチャ(IPアドレス)を活用する可能性を開くため、非常に大きなものです。そのため、AWSはこのサービスに追加料金を請求しません!詳細については、AWSブログ投稿でそれについてお読みください: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

ただし、サーバー名表示(SNI)には、それに完全に依存する前に考慮すべきいくつかの欠点があります。特に、一部の古いブラウザではサポートされていません。これをよりよく理解したい場合は、以下を参照してください: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

編集:AWSは2016年1月21日に発表され、無料でカスタムSSL証明書を提供します!

AWSサイトでの完全な発表について読むには: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

AmazonはAWS Certificate Managerと呼ばれる新しいサービスを発表し、AWSリソース用の無料のSSL/TLS証明書を提供しています。

これらの証明書は通常、Symantec、Comodo、RapidSSLなどのサードパーティの証明書プロバイダーから購入され、実行されるID検証のレベルに応じて50ドルから数百ドルの費用がかかります。

新しい証明書を取得するプロセスは常に少し面倒で、保護されているサーバーで証明書署名要求を生成し、その要求を証明書プロバイダーに送信し、受信した証明書をインストールする必要があります。 Amazonがプロセス全体を管理しているため、そのすべてがなくなり、証明書をAWSリソースで迅速に発行およびプロビジョニングできます。

証明書にはいくつかの制限があります。 Amazonはドメイン検証済み証明書のみを提供します。これは、ドメイン検証がメールで行われる簡単な検証です。拡張検証証明書が必要な場合は、現在の証明書プロバイダーに固執することがあります。また、証明書をコード署名や電子メールの暗号化に使用することはできません。

16