Escolher como o CloudFront atende a solicitações HTTPS - Amazon CloudFront

Escolher como o CloudFront atende a solicitações HTTPS

Se quiser que os visualizadores usem HTTPS e nomes de domínio alternativos para os arquivos, escolha uma das opções a seguir de como o CloudFront atende a solicitações HTTPS:

Esta seção explica como cada opção funciona.

Atender a solicitações HTTPS usando a SNI (funciona para a maioria dos clientes)

A Indicação de nome de servidor (SNI) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar o CloudFront para atender a solicitações HTTPS usando SNI, ele associará seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP para o seu nome de domínio é determinado durante a negociação do handshake SSL/TLS. O endereço IP não é dedicado à sua distribuição.

A negociação SSL/TLS ocorre no início do processo de estabelecimento de uma conexão HTTPS. Se o CloudFront não conseguir determinar imediatamente qual é o domínio da solicitação, ele interromperá a conexão. Veja o que acontece quando um visualizador compatível com SNI envia uma solicitação HTTP para seu conteúdo:

  1. O visualizador automaticamente obtém o nome de domínio do URL da solicitação e o adiciona a um campo no cabeçalho da solicitação.

  2. Quando o CloudFront recebe a solicitação, ele encontra o nome de domínio no cabeçalho dela e responde a ela com o certificado SSL/TLS aplicável.

  3. O visualizador e o CloudFront executam a negociação SSL/TLS.

  4. O CloudFront retorna o conteúdo solicitado para o visualizador.

Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia Server Name Indication.

Se você quiser usar a SNI, mas o navegador de alguns dos seus usuário não forem compatíveis, há várias opções:

  • Configure o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, em vez de SNI. Para mais informações, consulte Atender a solicitações HTTPS usando um endereço IP dedicado (funciona para todos os clientes).

  • Use o certificado SSL/TLS do CloudFront, em vez de um certificado personalizado. Isso requer o uso do nome de domínio do CloudFront da sua distribuição nos URLs dos seus arquivos, por exemplo, https://d111111abcdef8.cloudfront.net/logo.png.

    Se você usar o certificado padrão do CloudFront, os visualizadores deverão oferecer suporte ao protocolo SSL TLSv1 ou posterior. O CloudFront não oferece suporte a SSLv3 com o certificado padrão do CloudFront.

    Também é necessário alterar o certificado SSL/TLS usado pelo CloudFront de um certificado personalizado para o certificado padrão do CloudFront:

  • Se você puder controlar qual navegador seus usuários usam, peça que atualizem-no para um que seja compatível com SNI.

  • Use HTTP, em vez de HTTPS.

Atender a solicitações HTTPS usando um endereço IP dedicado (funciona para todos os clientes)

A Indicação de Nome de Servidor (SNI) é uma maneira de associar uma solicitação a um domínio. Outra maneira é usar um endereço IP dedicado. Se tiver usuários que não podem fazer a atualização para um navegador ou cliente lançado após 2010, você poderá usar um endereço IP dedicado para atender a solicitações HTTPS. Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia Server Name Indication.

Importante

Se você configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, será cobrado um adicional por mês. A cobrança começará quando você associar seu certificado SSL/TLS a uma distribuição e habilitar a distribuição. Para mais informações sobre os preços do CloudFront, consulte Definição de preços do Amazon CloudFront. Além disso, consulte Using the Same Certificate for Multiple CloudFront Distributions.

Ao configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, ele associará seu nome de domínio alternativo a um endereço IP dedicado em cada ponto de presença. Veja o que acontece quando um visualizador envia uma solicitação HTTP para seu conteúdo:

  1. O DNS roteia a solicitação para o endereço IP da sua distribuição no ponto de presença aplicável.

  2. O CloudFront usa o endereço IP para identificar sua distribuição e determinar qual certificado SSL/TLS retornar para o visualizador.

  3. O visualizador e o CloudFront executam uma negociação SSL/TLS usando seu certificado SSL/TLS.

  4. O CloudFront retorna o conteúdo solicitado para o visualizador.

Este método funciona para todas as solicitações HTTPS, independentemente do navegador ou outro visualizador usado pelo usuário.

Solicitar permissão para usar três ou mais certificados SSL/TLS com IP dedicado

Se precisar de permissão para associar de forma permanente três ou mais certificados SSL/TLS com IP dedicado ao CloudFront, execute o procedimento a seguir. Para mais detalhes sobre solicitações HTTPS, consulte Escolher como o CloudFront atende a solicitações HTTPS.

nota

Esse procedimento serve para usar três ou mais certificados com IP dedicado em todas as suas distribuições do CloudFront. O valor padrão é 2. Lembre-se de que você não pode associar mais de um certificado SSL a uma distribuição.

É possível associar somente um único certificado SSL/TLS a uma distribuição do CloudFront por vez. Esse número é para o total de certificados SSL com IP dedicado que podem ser usados em todas as suas distribuições do CloudFront.

Como solicitar permissão para usar três ou mais certificados com uma distribuição do CloudFront

  1. Acesse o Support Center e crie um caso.

  2. Indique quantos certificados você precisa de permissão para usar e descreva as circunstâncias na solicitação. Atualizaremos sua conta o mais rápido possível.

  3. Vá para o próximo procedimento.