Czy istnieje sposób używania HTTPS z Amazon CloudFront CDN i CNAME?

16

Korzystamy z Amazon CloudFront CDN z niestandardowymi nazwami CNAME wiszącymi w głównej domenie (static1.example.com). Chociaż możemy zerwać ten jednolity wygląd i użyć oryginalnych adresów URL123bigglyw00.cloudfront.net do korzystania z HTTPS, czy istnieje inny sposób?

Czy Amazon lub inny podobny dostawca oferuje hosting HTTPS CDN?

Czy TLS i jego selektywne szyfrowanie są gdzieś dostępne (SNI: Server Name Indication)?

Uwaga: zakładając, że odpowiedź brzmi „nie”, ale tylko w nadziei, że ktoś wie.

EDYCJA : Teraz za pomocą Google App Engine https://developers.google.com/appengine/docs/ssl do hostingu CDN z obsługą SSL.

Metalshark
źródło

Odpowiedzi:

18

CloudFront z CNAME i HTTPS nie jest obsługiwany, patrz pierwsza uwaga w dokumentacji CNAME CloudFront .

Nie sądzę, że którykolwiek z tanich CDN ma wsparcie dla CNAME i HTTPS razem, aby to zrobić, musiałby mieć jakiś sposób na przesłanie twojego niezaszyfrowanego certyfikatu do ich sieci CDN.

Carson
źródło
2
Lub pośrednik w ten sam sposób, w jaki Google oferuje konfigurację DNS z Google Apps i eNom / GoDaddy. W przyszłości jest nadzieja na en.wikipedia.org/wiki/Server_Name_Indication Zastanawiałem się, czy któryś z dostawców zaczął testować tę zdolność.
Metalshark
1
Uwaga w 2016 roku: ta odpowiedź jest nieaktualna, zobacz odpowiedź Johna Marka Mitchella poniżej.
Benjamin
16

PROSZĘ ZWRÓCIĆ UWAGĘ NA PONIŻSZE EDYCJE I AKTUALIZACJE

W chwili pisania tego (23 maja 2012 r.) Protokół SSL jest obsługiwany za pośrednictwem dystrybucyjnego adresu URL CloudFront tylko. Oznacza to, że nie możesz CNAME adresu URL SSL. Konkretnie, możesz odwoływać się do przedmiotu za pośrednictwem protokołu SSL jako:

https://[distribution].cloudfront.net/picture.jpg

ale nie:

https://cdn.mydomain.com/picture.jpg

gdzie cdn.moja_domena.com to CNAME dla [dystrybucji] .cloudfront.net. Obecnie będziesz otrzymywać błędy SSL.

Oznacza to, że nie możesz użyć nazwy domeny lub certyfikatu SSL. Może to powodować problemy z zasadami dotyczącymi wielu domen w przeglądarce, a także zwiększać złożoność utrzymania witryny.

Personel AWS zapewnił mnie, że obsługa HTTPS dla dystrybucji CNAME znajduje się na ich liście funkcji, ale że wymaga ona wsparcia społeczności w celu ustalenia priorytetów. Aby pomóc w tych wysiłkach, wypełnij ankietę CloudFront (patrz poniżej) i zwróć uwagę na to żądanie funkcji. Pracownicy AWS wykorzystują dane zebrane z ankiety do planowania i ustalania priorytetów mapy drogowej CloudFront.

Pamiętaj, że podczas wypełniania ankiety CloudFront Survey wymagana jest obsługa HTTPS CNAME: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDYCJA: Zauważyłem post z 11 czerwca 2012 r., Że AWS zaktualizowało link do ankiety:

Nowy link do ankiety: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Myślę, że warto poświęcić czas na wyrażenie opinii o tym, czy CNAME + SSL jest obsługiwaną funkcją.

EDYCJA: Ogłoszone 11 czerwca 2013 r., Niestandardowe certyfikaty SSL z dedykowanymi adresami IP są teraz obsługiwane przez CloudFront w AWS:

Zobacz ogłoszenie funkcji na blogu AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Jedna rzecz do rozważenia przed wybraniem się na tę trasę, musisz zobaczyć znaczącą wartość odejścia od trasy https: // [dystrybucja] .cloudfront.net, ponieważ cena wynosi 600 USD miesięcznie za hosting niestandardowych certyfikatów SSL.

EDYCJA: Ogłoszone 5 marca 2014 r. Niestandardowe certyfikaty SSL przy użyciu Wskazania nazwy serwera (SNI) są teraz obsługiwane przez CloudFront w AWS - BRAK DODATKOWEJ OPŁATY:

AWS obsługuje teraz niestandardowe certyfikaty SSL za pośrednictwem SNI. Jest to OGROMNE, ponieważ otwiera możliwość wykorzystania istniejącej infrastruktury AWS (adresy IP). W związku z tym AWS nie pobiera dodatkowych opłat za tę usługę! Aby dowiedzieć się więcej, przeczytaj o tym na blogu AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Jedną z rzeczy, na którą należy zwrócić uwagę, Server Name Indication (SNI) ma pewne wady, które należy rozważyć przed całkowitym poleganiem na nim. W szczególności nie jest obsługiwane przez niektóre starsze przeglądarki. Jeśli chcesz to lepiej zrozumieć, zobacz: /programming/5154596/is-ssl-sni-actally-used-and-supported-in-browsers

EDYCJA: AWS ogłoszony 21 stycznia 2016 r., Dostarczy niestandardowe certyfikaty SSL ZA DARMO!

Aby przeczytać o pełnym ogłoszeniu na stronie AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon ogłosił nową usługę o nazwie AWS Certificate Manager, oferującą bezpłatne certyfikaty SSL / TLS dla zasobów AWS.

Certyfikaty te są zwykle kupowane od zewnętrznych dostawców certyfikatów, takich jak Symantec, Comodo i RapidSSL, i mogą kosztować od 50 do setek dolarów, w zależności od poziomu przeprowadzonej weryfikacji tożsamości.

Proces uzyskiwania nowego certyfikatu zawsze był nieco uciążliwy, wymagając wygenerowania żądania podpisania certyfikatu na chronionym serwerze, wysłania tego żądania do dostawcy certyfikatu, a następnie zainstalowania certyfikatu po jego otrzymaniu. Ponieważ Amazon zarządza całym procesem, wszystko to znika, a certyfikaty mogą być szybko wydawane i automatycznie przydzielane do zasobów AWS.

Istnieje kilka ograniczeń certyfikatów. Amazon zapewnia tylko certyfikaty z walidacją domeny, prosta weryfikacja, w której walidacja domeny odbywa się za pośrednictwem poczty elektronicznej. Jeśli chcesz mieć certyfikat Extended Validation, możesz trzymać się jego obecnych dostawców certyfikatów. Ponadto certyfikatów nie można używać do podpisywania kodu ani szyfrowania wiadomości e-mail.

John Mark Mitchell
źródło
3
developers.google.com/appengine/docs/ssl dokumentuje to. Po 2 latach starania się o wsparcie AWS dla tej funkcji, głosowanie nad nią, gdy konkurent już ją wypuścił, jest za mało za późno.
Metalshark
cmon AWS, zgadzam się z @Metalshark i wszystkimi w tym wątku. Właśnie wypełniłem absurdalnie długi formularz opinii AWS Cloudfront, aby promować CNAME-HTTPS, ale jeśli Google App Engine to oferuje i to pytanie ma 2 lata, musisz zrobić coś JAK NAJSZYBCIEJ !!!
tim peterson,
Nic nie widzę na stronie Google App Engine na temat CDN. AWS już oferuje bezpłatną obsługę SSL we wszystkim innym, ale obsługa CDN jest trudniejsza. Nie cytuj mnie, ale podejrzewam, że dzieje się tak, ponieważ w grę wchodzi wiele adresów IP.
Rupert Rawnsley,
Dziękujemy za aktualizację tej odpowiedzi, John. Właśnie usunąłem kilka nieaktualnych komentarzy, które zostały włączone do odpowiedzi. Prawdopodobnie łatwiej byłoby przeczytać odpowiedź, jeśli po prostu usunąłeś nieaktualne informacje, zamiast używać skreślenia. Pełna historia zmian odpowiedzi jest dostępna po kliknięciu linku wyświetlającego datę ostatniej edycji odpowiedzi.
Stephen Ostermiller