Gibt es eine Möglichkeit, HTTPS mit CloudFront CDN und CNAMEs von Amazon zu verwenden?

16

Wir verwenden das CloudFront-CDN von Amazon mit benutzerdefinierten CNAMEs, die unter der Hauptdomäne (static1.example.com) hängen. Obwohl wir dieses einheitliche Erscheinungsbild unterbrechen und die ursprünglichen URLs von whatever123wigglyw00.cloudfront.net verwenden können, um HTTPS zu verwenden, gibt es einen anderen Weg?

Bietet Amazon oder ein ähnlicher Anbieter HTTPS-CDN-Hosting an?

Ist TLS und seine selektive Verschlüsselung irgendwo verfügbar (SNI: Server Name Indication)?

Fußnote: Unter der Annahme, dass die Antwort nein ist, aber nur in der Hoffnung, dass es jemand weiß.

BEARBEITEN : Verwenden Sie jetzt Google App Engine https://developers.google.com/appengine/docs/ssl für CDN-Hosting mit SSL-Unterstützung.

Metallhai
quelle

Antworten:

18

CloudFront mit CNAMEs und HTTPS wird nicht unterstützt (siehe den ersten Hinweis in der CloudFront CNAME-Dokumentation) .

Ich glaube nicht, dass eines der kostengünstigen CDNs CNAMEs und HTTPS unterstützt. Dazu müssten Sie Ihr unverschlüsseltes Zertifikat in das CDN-Netzwerk hochladen.

carson
quelle
2
Oder vermitteln Sie auf die gleiche Weise, wie Google die DNS-Konfiguration mit Google Apps und eNom / GoDaddy anbietet. Es gibt Hoffnung für die Zukunft mit en.wikipedia.org/wiki/Server_Name_Indication. Ich habe mich gefragt, ob ein Anbieter diese Fähigkeit bereits ausprobiert hat.
Metalshark
1
Hinweis im Jahr 2016: Diese Antwort ist veraltet, siehe die Antwort von John Mark Mitchell unten.
Benjamin
16

BITTE BEACHTEN SIE DIE ÄNDERUNGEN UND AKTUALISIERUNGEN UNTEN

Während ich dies schreibe (23. Mai 2012), wird SSL über die CloudFront-Distributions-URL unterstützt nur. Das heißt, Sie können die SSL-URL nicht CNAMEN. Konkret können Sie einen Artikel über SSL referenzieren als:

https://[distribution].cloudfront.net/picture.jpg

aber nicht:

https://cdn.mydomain.com/picture.jpg

Dabei ist cdn.meinedomain.com ein CNAME für [Distribution] .cloudfront.net. Gegenwärtig erhalten Sie SSL-Fehler.

Dies bedeutet, dass Sie Ihren Domainnamen oder Ihr SSL-Zertifikat nicht verwenden können. Dies kann zu Problemen mit domänenübergreifenden Richtlinien im Browser führen und die Wartung einer Site komplexer gestalten.

Die AWS-Mitarbeiter haben mir versichert, dass die HTTPS-Unterstützung für CNAME-Verteilungen auf ihrer Featureliste steht, für die Priorisierung jedoch Community-Unterstützung erforderlich ist. Füllen Sie dazu die CloudFront-Umfrage aus (siehe unten) und beachten Sie diese Funktionsanforderung. AWS-Mitarbeiter verwenden die aus der Umfrage gesammelten Daten zur Planung und Priorisierung der CloudFront-Roadmap.

Beachten Sie, dass HTTPS CNAME-Unterstützung erforderlich ist, wenn Sie an der CloudFront-Umfrage teilnehmen: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

BEARBEITEN: Hat einen Beitrag vom 11. Juni 2012 zur Kenntnis genommen, in dem AWS den Umfragelink aktualisiert hat:

Neuer Umfrage-Link: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Ich denke, es ist die Zeit wert, ihnen Feedback zu geben, wie CNAME + SSL zu einer unterstützten Funktion gemacht wird.

BEARBEITEN: Angekündigt am 11. Juni 2013, benutzerdefinierte SSL-Zertifikate mit dedizierten IPs werden jetzt mit CloudFront unter AWS unterstützt:

Weitere Informationen finden Sie in der Funktionsankündigung im AWS-Blog: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Bevor Sie sich für diese Route entscheiden, müssen Sie feststellen , dass die Abweichung von der https: // [distribution] .cloudfront.net- Route erheblich ist , da der Preis für das Hosten benutzerdefinierter SSL-Zertifikate bei 600 USD pro Monat liegt.

BEARBEITEN: Angekündigt am 5. März 2014, benutzerdefinierte SSL-Zertifikate mit der Angabe des Servernamens (SNI) werden jetzt mit CloudFront unter AWS unterstützt - KEINE ZUSÄTZLICHEN GEBÜHREN:

AWS unterstützt jetzt benutzerdefinierte SSL-Zertifikate über SNI. Dies ist RIESIG, da es die Möglichkeit eröffnet, die vorhandene Infrastruktur (IP-Adressen) von AWS zu nutzen. Aus diesem Grund berechnet AWS für diesen Service keine zusätzlichen Kosten! Weitere Informationen finden Sie im AWS-Blogbeitrag: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Ein Punkt, der jedoch beachtet werden sollte: Die Server Name Indication (SNI) weist einige Nachteile auf, die berücksichtigt werden sollten, bevor man sich vollständig darauf verlässt. Insbesondere wird es von einigen älteren Browsern nicht unterstützt. Wenn Sie dies besser verstehen möchten, lesen Sie: /programming/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

BEARBEITEN: AWS hat am 21. Januar 2016 angekündigt, benutzerdefinierte SSL-Zertifikate KOSTENLOS bereitzustellen.

Informationen zur vollständigen Ankündigung auf der AWS-Website finden Sie unter: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon hat einen neuen Dienst namens AWS Certificate Manager angekündigt, der kostenlose SSL / TLS-Zertifikate für AWS-Ressourcen anbietet.

Diese Zertifikate werden in der Regel von Drittanbietern von Zertifikaten wie Symantec, Comodo und RapidSSL erworben und können je nach der durchgeführten Identitätsprüfung zwischen 50 und Hunderten von US-Dollar kosten.

Der Vorgang zum Erhalten eines neuen Zertifikats war immer etwas umständlich, da eine Zertifikatsignierungsanforderung auf dem zu schützenden Server erstellt, an einen Zertifikatsanbieter gesendet und das Zertifikat nach Erhalt installiert werden musste. Da Amazon den gesamten Prozess verwaltet, entfällt all dies und Zertifikate können schnell und automatisch auf AWS-Ressourcen ausgestellt und bereitgestellt werden.

Für die Zertifikate gelten einige Einschränkungen. Amazon stellt nur Domain-validierte Zertifikate zur Verfügung, eine einfache Überprüfung, bei der die Domain-Validierung per E-Mail erfolgt. Wenn Sie ein Extended Validation-Zertifikat wünschen, können Sie sich an die aktuellen Zertifikatanbieter halten. Darüber hinaus können die Zertifikate nicht für die Codesignatur oder E-Mail-Verschlüsselung verwendet werden.

John Mark Mitchell
quelle
3
developers.google.com/appengine/docs/ssl dokumentiert es. Nach zwei Jahren des Versuchs, AWS dazu zu bringen, das Feature zu unterstützen, ist es zu spät, wenn einem Konkurrenten eine Abstimmung angeboten wird, wenn das Feature bereits veröffentlicht wurde.
Metalshark
Wie in AWS, stimme ich @Metalshark und allen anderen in diesem Thread zu. Ich habe gerade das absurd lange Feedback-Formular von AWS Cloudfront ausgefüllt, um für CNAME-HTTPS einzutreten, aber wenn Google App Engine es anbietet und diese Frage 2 Jahre alt ist, müssen Sie so schnell wie möglich etwas unternehmen !!!
Tim Peterson
Auf der Google App Engine-Seite wird nichts zu CDNs angezeigt. AWS bietet bereits kostenlosen SSL-Support für alles andere, der CDN-Support ist jedoch schwieriger. Zitiere mich nicht, aber ich vermute, dass es sich um mehrere IP-Adressen handelt.
Rupert Rawnsley
Vielen Dank für die Aktualisierung dieser Antwort, John. Ich habe gerade einige veraltete Kommentare gelöscht, die in die Antwort aufgenommen wurden. Es wäre wahrscheinlich einfacher, die Antwort zu lesen, wenn Sie nur die veralteten Informationen löschen würden, anstatt Strikeout zu verwenden. Der vollständige Versionsverlauf Ihrer Antwort wird angezeigt, wenn Sie auf den Link klicken, der anzeigt, wann Sie die Antwort zuletzt bearbeitet haben.
Stephen Ostermiller