Verwenden von HTTPS mit CloudFront - Amazon CloudFront

Verwenden von HTTPS mit CloudFront

Sie können durch eine entsprechende Konfiguration von CloudFront erzwingen, dass Viewer HTTPS verwenden, damit Verbindungen verschlüsselt werden, wenn CloudFront mit den Viewern kommuniziert. Sie können CloudFront auch dafür konfigurieren, HTTPS mit Ihrem Ursprung zu verwenden, damit Verbindungen verschlüsselt sind, wenn CloudFront mit Ihrem Ursprung kommuniziert.

Wenn Sie CloudFront so konfigurieren, dass die Verwendung von HTTPS sowohl für die Kommunikation mit den Viewern als auch für die Kommunikation mit dem Ursprung erzwungen wird, geschieht Folgendes, sobald CloudFront eine Anforderung empfängt:

  1. Ein Betrachter sendet eine HTTPS-Anforderung an CloudFront. Zwischen dem Viewer und CloudFront finden einige SSL/TLS-Aushandlungen statt. Am Ende sendet der Viewer die Anfrage in einem verschlüsselten Format.

  2. Wenn der CloudFront-Edge-Standort eine zwischengespeicherte Antwort enthält, verschlüsselt CloudFront die Antwort und gibt sie an den Viewer zurück, der sie dann entschlüsselt.

  3. Wenn der CloudFront-Edge-Standort keine zwischengespeicherte Antwort enthält, führt CloudFront SSL/TLS-Aushandlungen mit dem Ursprung durch und leitet die Anforderung nach dem Abschluss der Aushandlung in einem verschlüsselten Format an den Ursprung weiter.

  4. Der Ursprung entschlüsselt die Anforderung, verarbeitet sie (generiert eine Antwort), verschlüsselt die Antwort und gibt sie an CloudFront zurück.

  5. CloudFront entschlüsselt die Antwort, verschlüsselt sie erneut und leitet das Objekt an den Viewer weiter. CloudFront speichert die Antwort auch im Edge-Standort, so dass sie bei der nächsten Anforderung verfügbar ist.

  6. Der Viewer entschlüsselt die Antwort.

Der Ablauf ist grundsätzlich derselbe, ganz gleich, ob als Ursprung ein Amazon S3-Bucket oder ein benutzerdefinierter Ursprung wie z. B. ein HTTP- oder HTTPS-Server verwendet wird:

Anmerkung

Zur Unterstützung der Abwehr von Angriffen des Typs SSL-Neuaushandlung unterstützt CloudFront keine Neuaushandlung bei Betrachter- und Ursprungsanfragen.

Weitere Informationen dazu, wie Sie die Verwendung von HTTPS für die Kommunikation zwischen Betrachtern und CloudFront bzw. zwischen CloudFront und Ihrem Ursprung erzwingen, finden Sie in den folgenden Themen.