Uso de SNI para atender solicitudes HTTPS (funciona en la mayoría de los clientes)Uso de direcciones IP dedicadas para atender solicitudes HTTPS (funciona en todos los clientes)Solicitud de permiso para utilizar tres o más certificados SSL/TLS de direcciones IP dedicadas

Elegir cómo se CloudFront atienden las solicitudes HTTPS

Si quieres que los espectadores usen HTTPS y que usen nombres de dominio alternativos para tus archivos, elige una de las siguientes opciones para ver cómo se CloudFront atienden las solicitudes HTTPS:

Use Server Name Indication (SNI) (Indicación de nombre de servidor [SNI]): recomendado
Utilizar una dirección IP dedicada en cada ubicación de borde

En esta sección se explica cómo funciona cada opción.

Uso de SNI para atender solicitudes HTTPS (funciona en la mayoría de los clientes)

Server Name Indication (SNI) (Indicación de nombre de servidor [SNI]) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si está configurado CloudFront para atender las solicitudes HTTPS mediante el SNI, CloudFront asocie su nombre de dominio alternativo a una dirección IP para cada ubicación perimetral. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de su nombre de dominio se determina durante la negociación del protocolo SSL/TLS; la dirección IP no es exclusiva de su distribución.

La negociación SSL/TLS se produce muy pronto en el proceso de establecimiento de una conexión HTTPS. Si no CloudFront puede determinar de inmediato para qué dominio es la solicitud, se interrumpe la conexión. Cuando un espectador que admite SNI envía una solicitud HTTPS de contenido, esto es lo que ocurre:

El espectador obtiene automáticamente el nombre de dominio de la URL de la solicitud y lo añade a un campo en el encabezado de la solicitud.
Cuando CloudFront recibe la solicitud, busca el nombre de dominio en el encabezado de la solicitud y responde a la solicitud con el certificado SSL/TLS correspondiente.
El espectador y realizan la negociación de CloudFront SSL/TLS.
CloudFront devuelve el contenido solicitado al espectador.

Para obtener una lista actualizada de los navegadores que admiten SNI, consulte la entrada de Wikipedia de Server Name Indication.

Si desea utilizar SNI pero algunos de los navegadores de los usuarios no lo admiten, dispone de varias opciones:

Configure CloudFront para atender las solicitudes HTTPS mediante direcciones IP dedicadas en lugar de SNI. Para obtener más información, consulte Uso de direcciones IP dedicadas para atender solicitudes HTTPS (funciona en todos los clientes).
Utilice el certificado CloudFront SSL/TLS en lugar de un certificado personalizado. Esto requiere que utilices el nombre de CloudFront dominio para la distribución en las URL de tus archivos, por ejemplo. https://d111111abcdef8.cloudfront.net/logo.png

Si usa el CloudFront certificado predeterminado, los espectadores deben admitir el protocolo SSL TLSv1 o posterior. CloudFront no admite SSLv3 con el certificado predeterminado. CloudFront

También debe cambiar el certificado SSL/TLS que CloudFront está utilizando de un certificado personalizado al certificado predeterminado: CloudFront
- Si no ha usado su distribución para distribuir su contenido, puede simplemente cambiar la configuración. Para obtener más información, consulte Actualización de una distribución.
- Si ha utilizado la distribución para distribuir el contenido, debe crear una nueva CloudFront distribución y cambiar las direcciones URL de los archivos para reducir o eliminar el tiempo que el contenido no está disponible. Para obtener más información, consulte Volver de un certificado SSL/TLS personalizado al certificado predeterminado CloudFront .
Si puede controlar qué navegador utilizarán los usuarios, haga que lo actualicen a uno que admita SNI.
Utilice HTTP en lugar de HTTPS.

Uso de direcciones IP dedicadas para atender solicitudes HTTPS (funciona en todos los clientes)

La indicación de nombre de servidor (SNI) es una manera de asociar una solicitud a un dominio. Otra forma es utilizar una dirección IP dedicada. Si tiene usuarios que no pueden actualizar a un navegador o cliente que se haya lanzado después de 2010, puede utilizar una dirección IP dedicada para atender solicitudes HTTPS. Para obtener una lista actualizada de los navegadores que admiten SNI, consulte la entrada de Wikipedia de Server Name Indication.

importante

Si se configura CloudFront para atender las solicitudes HTTPS mediante direcciones IP dedicadas, se le cobrará un cargo mensual adicional. El cargo comienza cuando asocia el certificado SSL/TLS a una distribución y la habilita. Para obtener más información sobre CloudFront los precios, consulta Amazon CloudFront Pricing. Además, consulte Using the Same Certificate for Multiple CloudFront Distributions.

Cuando se configura CloudFront para atender las solicitudes HTTPS mediante direcciones IP dedicadas, CloudFront asocie su nombre de dominio alternativo a una dirección IP dedicada en cada ubicación CloudFront perimetral. Cuando un espectador envía una solicitud HTTPS de contenido, esto es lo que ocurre:

El DNS dirige la solicitud hacia la dirección IP de su distribución en la ubicación de borde aplicable.
CloudFront utiliza la dirección IP para identificar su distribución y determinar qué certificado SSL/TLS debe devolver al espectador.
El visualizador y CloudFront realice la negociación de SSL/TLS con su certificado SSL/TLS.
CloudFront devuelve el contenido solicitado al espectador.

Este método funciona con cualquier solicitud HTTPS, independientemente del navegador o espectador que esté utilizando el usuario.

Solicitud de permiso para utilizar tres o más certificados SSL/TLS de direcciones IP dedicadas

Si necesita permiso para asociar permanentemente tres o más certificados IP dedicados SSL/TLS CloudFront, lleve a cabo el siguiente procedimiento. Para obtener detalles acerca de solicitudes HTTPS, consulte Elegir cómo se CloudFront atienden las solicitudes HTTPS.

nota

Este procedimiento es para usar tres o más certificados IP dedicados en sus distribuciones. CloudFront El valor predeterminado es 2. Tenga en cuenta que no puede vincular más de un certificado SSL a una distribución.

Solo puede asociar un único certificado SSL/TLS a una CloudFront distribución a la vez. Este número corresponde al número total de certificados SSL IP dedicados que puede utilizar en todas sus distribuciones. CloudFront

Para solicitar permiso para utilizar tres o más certificados con una distribución de CloudFront

Vaya al Centro de soporte y cree un caso.
Indique la cantidad de certificados a utilizar para la que necesita permiso y describa las circunstancias en su solicitud. Actualizaremos su cuenta tan pronto como sea posible.
Continúe con el siguiente procedimiento.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de nombres de dominio alternativos y HTTPS

Requisitos para usar certificados SSL/TLS con CloudFront