Amazon'un CloudFront CDN ve CNAME'leriyle HTTPS kullanmanın bir yolu var mı?


16

Amazon'un CloudFront CDN'sini, ana etki alanı (static1.example.com) altında asılı olan özel CNAME'lerle kullanıyoruz. Bu tek biçimli görünümü kırabilir ve orijinal ne olursa olsun123wigglyw00.cloudfront.net URL'lerini HTTPS kullanmak için kullanabiliriz, başka bir yolu var mı?

Amazon veya benzeri bir sağlayıcı HTTPS CDN hosting sunuyor mu?

TLS ve seçici şifrelemesi bir yerde kullanılabilir mi (SNI: Sunucu Adı Gösterimi)?

Dipnot: cevabın hayır olduğunu varsayarsak, sadece birinin bildiği umuduyla.

EDIT : Şimdi SSL desteği ile CDN barındırma için Google App Engine https://developers.google.com/appengine/docs/ssl kullanılıyor .

Yanıtlar:


18

CNAME ve HTTPS içeren CloudFront desteklenmez, CloudFront CNAME belgelerindeki ilk nota bakın .

Düşük maliyetli CDN'lerin hiçbirinin CNAME'leri ve HTTPS'yi birlikte desteklediğini düşünmüyorum, bunun için şifrelenmemiş sertifikanızı CDN ağlarına yüklemeniz için bir yol olması gerekecek.


2
Veya aynı şekilde Google, Google Apps ve eNom / GoDaddy ile DNS yapılandırması sunar. Gelecekte en.wikipedia.org/wiki/Server_Name_Indication ile umut var Herhangi bir sağlayıcı henüz bu yeteneği denemeye başlayıp başlamadığını merak ediyordum.
Metalshark

1
2016'da not: bu cevap eski, lütfen John Mark Mitchell'in cevabına bakınız.
Benjamin

16

AŞAĞIDAKİ DÜZENLEME VE GÜNCELLEMELERİ LÜTFEN DİKKAT EDİN

Bunu yazdığım için (23 Mayıs 2012) SSL, CloudFront dağıtım URL'si aracılığıyla destekleniyor bir tek. Yani, SSL URL'sini CNAME yapamazsınız. Somut olarak, bir öğeye SSL yoluyla şu şekilde başvurabilirsiniz:

https://[distribution].cloudfront.net/picture.jpg

Ama değil:

https://cdn.mydomain.com/picture.jpg

burada cdn.alanadim.com [dağıtım] .cloudfront.net için bir CNAME'dir. Şu anda SSL hataları alacaksınız.

Bu, alan adınızı veya SSL sertifikanızı kullanamayacağınız anlamına gelir. Bu, tarayıcıdaki etki alanları arası politikalarda sorunlara neden olabileceği gibi, bir sitenin bakımına karmaşıklık getirebilir.

AWS personeli tarafından, dağıtım CNAME'leri için HTTPS desteğinin özellik listesinde olduğu ancak önceliklendirme için topluluk desteğine ihtiyaç duyduğundan emin oldum. Bu çabaya yardımcı olmak için lütfen CloudFront anketini doldurun (aşağıya bakın) ve bu özellik isteğine dikkat edin. AWS personeli, anketten toplanan verileri CloudFront yol haritasını planlamak ve öncelik sırasına koymak için kullanır.

CloudFront Anketine katılırken HTTPS CNAME desteğinin gerekli olduğuna dikkat edin: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

DÜZENLEME: AWS'nin anket bağlantısını güncellediği 11 Haziran 2012 tarihli bir yayın fark etti:

Yeni Anket Bağlantısı: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

CNAME + SSL'yi desteklenen bir özellik yapma konusunda geri bildirimde bulunmanın zaman ayırmaya değer olduğunu düşünüyorum.

EDIT: 11 Haziran 2013 tarihinde duyurulan, özel IP'lere sahip özel SSL Sertifikaları artık AWS'de CloudFront ile destekleniyor:

AWS Blogundaki özellik duyurusuna bakın: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Bu rotayı kullanmaya devam etmeden önce dikkat etmeniz gereken bir nokta, özel SSL sertifikalarını barındırmak için fiyatlandırma aylık 600 ABD Doları olduğundan https: // [dağıtım] .cloudfront.net yolundan sapmanın önemli bir değerini görmeniz gerekir .

EDIT: 5 Mart 2014 tarihinde duyurulan Sunucu Adı Göstergesi (SNI) kullanan özel SSL Sertifikaları artık AWS'de CloudFront ile desteklenmektedir - EK ÜCRET YOK:

AWS artık SNI üzerinden özel SSL Sertifikalarını desteklemektedir. AWS'nin mevcut altyapısından (IP adresleri) yararlanma imkânını açtığı için bu çok büyük. Bu nedenle, AWS bu hizmet için ekstra ücret almaz! Daha fazla bilgi edinmek için AWS blog yayınında okuyun: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Yine de dikkat edilmesi gereken bir öğe, Sunucu Adı Göstergesi'nin (SNI) tamamen güvenmeden önce dikkate alınması gereken bazı dezavantajları vardır. Özellikle bazı eski tarayıcılar tarafından desteklenmez. Bunu daha iyi anlamak istiyorsanız, bkz: /programming/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS 21 Ocak 2016'da duyurdu, ÜCRETSİZ özel SSL Sertifikaları sağlayacaklar!

AWS sitesindeki duyurunun tamamını okumak için: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon, AWS kaynakları için ücretsiz SSL / TLS sertifikaları sunan AWS Sertifika Yöneticisi adlı yeni bir hizmet duyurdu.

Bu sertifikalar genellikle Symantec, Comodo ve RapidSSL gibi üçüncü taraf sertifika sağlayıcılarından satın alınır ve gerçekleştirilen kimlik doğrulama düzeyine bağlı olarak 50 ila yüzlerce dolar arasında bir maliyete mal olabilir.

Yeni bir sertifika alma işlemi her zaman biraz dağınıktı, korunan sunucuda bir Sertifika İmzalama İsteği oluşturulmasını, bu isteği bir sertifika sağlayıcısına göndermeyi ve ardından sertifikayı alındıktan sonra yüklemeyi gerektiriyordu. Amazon tüm süreci yönettiği için, tüm bunlar ortadan kalkar ve AWS kaynaklarına otomatik olarak sertifikalar hızlı bir şekilde verilebilir ve sağlanabilir.

Sertifikalarda bazı sınırlamalar vardır. Amazon yalnızca alan adı doğrulamalı sertifikalar sağlar; alan adı doğrulamasının e-posta yoluyla yapıldığı basit bir doğrulama. Genişletilmiş Doğrulama sertifikası istiyorsanız, geçerli sertifika sağlayıcılarına bağlı kalabilirsiniz. Ayrıca, sertifikalar kod imzalama veya e-posta şifrelemesi için kullanılamaz.


3
developers.google.com/appengine/docs/ssl belgeler. Özelliği desteklemek için 2 yıl AWS almaya çalıştıktan sonra, bir yarışmacı daha önce piyasaya sürdüğünde bir oylama teklif edilmesi çok az geç.
Metalshark

Cmon AWS, @Metalshark ve bu konudaki herkes ile hemfikirim. AWAME Cloudfront'un CNAME-HTTPS'yi savunmak için saçma uzun geri bildirim formunu doldurdum, ancak Google App Engine bunu sunuyorsa ve bu soru 2 yaşındaysa, ASAP bir şeyler yapmalısınız !!!
tim peterson

Google App Engine sayfasında CDN'ler hakkında hiçbir şey göremiyorum. AWS zaten her şey için ücretsiz SSL desteği sunuyor, ancak CDN desteği daha zor. Bana alıntı yapma, ancak bunun birden fazla IP adresi olduğundan şüpheleniyorum.
Rupert Rawnsley

Bu yanıtı güncel tuttuğunuz için teşekkür ederiz, John. Sadece cevaba dahil edilmiş bir sürü eski yorum sildim. Üstü çizili kullanmak yerine eski bilgileri sildiyseniz, cevabı okumak daha kolay olacaktır. Cevabınızın tam düzeltme geçmişine, cevabı en son ne zaman düzenlediğinizi gösteren bağlantıyı tıklayarak ulaşabilirsiniz.
Stephen Ostermiller
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.