Verwenden von HTTPS mit CloudFront - Amazon CloudFront

Verwenden von HTTPS mit CloudFront

Sie können durch eine entsprechende Konfiguration von CloudFront erzwingen, dass Betrachter HTTPS zur Anforderung Ihrer Objekte verwenden, damit Verbindungen verschlüsselt werden, wenn CloudFront mit den Betrachtern kommuniziert. Sie können CloudFront auch dafür konfigurieren, HTTPS für den Abruf Ihrer Objekte von Ihrem Ursprung zu verwenden, damit Verbindungen verschlüsselt werden, wenn CloudFront mit Ihrem Ursprung kommuniziert.

Wenn Sie CloudFront so konfigurieren, dass die Verwendung von HTTPS sowohl für die Kommunikation mit den Betrachtern als auch für die Kommunikation mit dem Ursprung erzwungen wird, geschieht Folgendes, sobald CloudFront eine Anforderung eines Objekts empfängt:

  1. Ein Betrachter sendet eine HTTPS-Anforderung an CloudFront. Zwischen dem Betrachter und CloudFront finden einige SSL/TLS-Aushandlungen statt. Am Ende sendet der Viewer die Anfrage in einem verschlüsselten Format.

  2. Wenn sich das Objekt im CloudFront-Edge-Zwischenspeicher befindet, verschlüsselt CloudFront die Antwort und gibt sie an den Betrachter zurück, der sie dann entschlüsselt.

  3. Andernfalls führt CloudFront SSL/TLS-Aushandlungen mit dem Ursprung durch und leitet die Anforderung nach dem Abschluss der Aushandlung in einem verschlüsselten Format an den Ursprung weiter.

  4. Der Ursprung entschlüsselt die Anforderung, verschlüsselt das angeforderte Objekt und gibt es an CloudFront zurück.

  5. CloudFront entschlüsselt die Antwort, verschlüsselt sie erneut und leitet das Objekt an den Betrachter weiter. Darüber hinaus speichert CloudFront das Objekt im Edge-Zwischenspeicher, damit es bei der nächsten Anforderung verfügbar ist.

  6. Der Viewer entschlüsselt die Antwort.

Der Ablauf ist grundsätzlich derselbe, ganz gleich, ob als Ursprung ein Amazon S3-Bucket oder ein benutzerdefinierter Ursprung wie z. B. ein HTTP- oder HTTPS-Server verwendet wird:

Anmerkung

Zur Unterstützung der Abwehr von Angriffen des Typs SSL-Neuaushandlung unterstützt CloudFront keine Neuaushandlung bei Betrachter- und Ursprungsanfragen.

Weitere Informationen dazu, wie Sie die Verwendung von HTTPS für die Kommunikation zwischen Betrachtern und CloudFront bzw. zwischen CloudFront und Ihrem Ursprung erzwingen, finden Sie in den folgenden Themen.