Apakah ada cara menggunakan HTTPS dengan Amazon CloudFront CDN dan CNAME?

16

Kami menggunakan Amazon CloudFront CDN dengan CNAME khusus yang tergantung di bawah domain utama (static1.example.com). Meskipun kita dapat memecah penampilan seragam ini dan menggunakan URL asli whatever123wigglyw00.cloudfront.net untuk memanfaatkan HTTPS, apakah ada cara lain?

Apakah Amazon atau penyedia serupa lainnya menawarkan hosting HTTPS CDN?

Apakah TLS dan enkripsi selektifnya tersedia untuk digunakan di suatu tempat (SNI: Server Name Indication)?

Catatan kaki: dengan anggapan bahwa jawabannya adalah tidak, tetapi hanya dengan harapan seseorang tahu.

EDIT : Sekarang menggunakan Google App Engine https://developers.google.com/appengine/docs/ssl untuk hosting CDN dengan dukungan SSL.

Metalshark
sumber

Jawaban:

18

CloudFront dengan CNAME dan HTTPS tidak didukung, lihat catatan pertama dalam dokumentasi CNAME CloudFront .

Saya rasa CDN mana pun yang berbiaya rendah tidak memiliki dukungan untuk CNAME dan HTTPS bersama-sama, untuk melakukan itu mereka harus memiliki beberapa cara bagi Anda untuk mengunggah sertifikat tidak terenkripsi Anda ke jaringan CDN mereka.

Carson
sumber
2
Atau broker dengan cara yang sama Google menawarkan konfigurasi DNS dengan Google Apps dan eNom / GoDaddy. Ada harapan di masa depan dengan en.wikipedia.org/wiki/Server_Name_Indication Saya bertanya-tanya apakah ada penyedia yang sudah mulai menguji coba kemampuan ini.
Metalshark
1
Catatan pada tahun 2016: jawaban ini sudah usang, silakan lihat jawaban John Mark Mitchell di bawah ini.
Benjamin
16

HARAP PERHATIKAN EDIT & PEMBARUAN DI BAWAH INI

Pada saat saya menulis ini (23 Mei 2012), SSL didukung melalui URL distribusi CloudFront hanya. Artinya, Anda tidak dapat CNAME URL SSL. Secara konkret, Anda dapat merujuk item melalui SSL sebagai:

https://[distribution].cloudfront.net/picture.jpg

tapi tidak:

https://cdn.mydomain.com/picture.jpg

di mana cdn.mydomain.com adalah CNAME untuk [distribusi] .cloudfront.net. Saat ini Anda akan mendapatkan kesalahan SSL.

Ini berarti Anda tidak dapat menggunakan nama domain atau sertifikat SSL. Ini dapat menyebabkan masalah dengan kebijakan lintas domain di peramban serta menambah kerumitan untuk pemeliharaan situs.

Saya telah diyakinkan oleh staf AWS bahwa dukungan HTTPS untuk distribusi CNAME ada dalam daftar fitur mereka tetapi membutuhkan dukungan komunitas untuk penentuan prioritas. Untuk membantu dalam upaya ini, silakan isi survei CloudFront (lihat di bawah) dan catat permintaan fitur ini. Staf AWS menggunakan data yang dikumpulkan dari survei untuk merencanakan dan memprioritaskan peta jalan CloudFront.

Pastikan untuk mencatat bahwa dukungan HTTPS CNAME diperlukan ketika Anda mengikuti Survei CloudFront: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: Memperhatikan posting dari 11 Juni 2012 bahwa AWS telah memperbarui tautan survei:

Tautan Survei Baru: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Saya pikir ini layak untuk memberi mereka umpan balik tentang menjadikan CNAME + SSL fitur yang didukung.

EDIT: Diumumkan pada 11 Juni 2013, Sertifikat SSL khusus dengan IP khusus sekarang didukung dengan CloudFront di AWS:

Lihat pengumuman fitur di AWS Blog: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Salah satu item dari pertimbangan sebelum penghitungan untuk pergi rute ini, Anda perlu melihat nilai yang signifikan dari menyimpang dari https: // [distribusi] .cloudfront.net rute sebagai harga adalah $ 600 USD per bulan untuk hosting sertifikat SSL kustom.

EDIT: Diumumkan pada 5 Maret 2014, Sertifikat SSL khusus menggunakan Server Name Indication (SNI) sekarang didukung dengan CloudFront pada AWS - TANPA BIAYA TAMBAHAN:

AWS sekarang mendukung Sertifikat SSL khusus melalui SNI. Ini SANGAT besar karena membuka kemungkinan memanfaatkan infrastruktur AWS yang sudah ada (alamat IP). Dengan demikian, AWS tidak mengenakan biaya tambahan untuk layanan ini! Untuk mempelajari lebih lanjut, baca tentang hal itu di posting blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Satu hal yang perlu dicatat, Indikasi Nama Server (SNI) memang memiliki beberapa kekurangan yang harus dipertimbangkan sebelum benar-benar mengandalkannya. Secara khusus itu tidak didukung oleh beberapa browser lama. Jika ingin memahami hal ini dengan lebih baik, lihat: /programming/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS diumumkan pada 21 Januari 2016, mereka akan memberikan Sertifikat SSL khusus GRATIS!

Untuk membaca tentang pengumuman lengkap di situs AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon telah mengumumkan layanan baru yang disebut AWS Certificate Manager, menawarkan sertifikat SSL / TLS gratis untuk sumber daya AWS.

Sertifikat ini biasanya dibeli dari penyedia sertifikat pihak ketiga seperti Symantec, Comodo dan RapidSSL dan dapat berharga antara $ 50 hingga ratusan dolar, tergantung pada tingkat verifikasi identitas yang dilakukan.

Proses mendapatkan sertifikat baru selalu sedikit berantakan, membutuhkan pembuatan Permintaan Penandatanganan Sertifikat di server yang dilindungi, mengirimkan permintaan itu ke penyedia sertifikat, dan kemudian memasang sertifikat setelah diterima. Karena Amazon mengelola seluruh proses, semua itu hilang dan sertifikat dapat dengan cepat dikeluarkan dan disediakan pada sumber daya AWS secara otomatis.

Ada beberapa batasan pada sertifikat. Amazon hanya menyediakan sertifikat yang divalidasi domain, verifikasi sederhana tempat validasi domain dilakukan melalui email. Jika Anda menginginkan sertifikat Validasi Diperpanjang, Anda dapat tetap menggunakan penyedia sertifikat mereka saat ini. Selain itu, sertifikat tidak dapat digunakan untuk menandatangani kode atau enkripsi email.

John Mark Mitchell
sumber
3
developers.google.com/appengine/docs/ssl mendokumentasikannya. Setelah 2 tahun mencoba mendapatkan AWS untuk mendukung fitur tersebut, ditawarkan suara di mana pesaing telah merilis fitur ini terlalu sedikit terlambat.
Metalshark
cmon AWS, saya setuju dengan @Metalshark dan semua orang di utas ini. Saya baru saja mengisi formulir umpan balik panjang AWS Cloudfront untuk mengadvokasi CNAME-HTTPS tetapi jika Google App Engine menawarkannya dan pertanyaan ini berumur 2 tahun, Anda harus melakukan sesuatu ASAP !!!
tim peterson
Saya tidak melihat apa pun di halaman Google App Engine tentang CDN. AWS sudah menawarkan dukungan SSL gratis untuk yang lainnya, tetapi dukungan CDN lebih sulit. Jangan mengutip saya, tapi saya curiga itu karena ada beberapa alamat IP yang terlibat.
Rupert Rawnsley
Terima kasih telah memperbarui jawaban ini, John. Saya baru saja menghapus banyak komentar usang yang telah dimasukkan ke dalam jawabannya. Mungkin akan lebih mudah untuk membaca jawabannya jika Anda hanya menghapus informasi yang sudah ketinggalan zaman daripada menggunakan strikeout. Riwayat revisi lengkap dari jawaban Anda tersedia dengan mengklik tautan yang menunjukkan kapan Anda terakhir kali mengedit jawaban.
Stephen Ostermiller