it-swarm.com.de

Gibt es eine Möglichkeit, HTTPS mit CloudFront CDN und CNAMEs von Amazon zu verwenden?

Wir verwenden das CloudFront-CDN von Amazon mit benutzerdefinierten CNAMEs, die unter der Hauptdomäne (static1.example.com) hängen. Obwohl wir dieses einheitliche Erscheinungsbild unterbrechen und die ursprünglichen URLs von whatever123wigglyw00.cloudfront.net verwenden können, um HTTPS zu verwenden, gibt es einen anderen Weg?

Bietet Amazon oder ein anderer ähnlicher Anbieter HTTPS-CDN-Hosting an?

Ist TLS und seine selektive Verschlüsselung irgendwo verfügbar (SNI: Server Name Indication)?

Fußnote: Unter der Annahme, dass die Antwort nein ist, aber nur in der Hoffnung, dass es jemand weiß.

EDIT: Jetzt mit Google App Engine https://developers.google.com/appengine/docs/ssl for CDN-Hosting mit SSL-Unterstützung.

16
Metalshark

CloudFront mit CNAMEs und HTTPS wird nicht unterstützt (siehe den ersten Hinweis in der CloudFront CNAME-Dokumentation .

Ich glaube nicht, dass eines der kostengünstigen CDNs CNAMEs und HTTPS unterstützt. Dazu müssten Sie Ihr unverschlüsseltes Zertifikat in das CDN-Netzwerk hochladen.

18
carson

BITTE BEACHTEN SIE DIE ÄNDERUNGEN UND AKTUALISIERUNGEN UNTEN

Während ich dies schreibe (23. Mai 2012), wird SSL über die CloudFront-Distributions-URL unterstützt nur. Das heißt, Sie können die SSL-URL nicht CNAME. Konkret können Sie einen Artikel über SSL referenzieren als:

https://[distribution].cloudfront.net/picture.jpg

aber nicht:

https://cdn.mydomain.com/picture.jpg

dabei ist cdn.meinedomain.com ein CNAME für [Distribution] .cloudfront.net. Gegenwärtig erhalten Sie SSL-Fehler.

Dies bedeutet, dass Sie Ihren Domainnamen oder Ihr SSL-Zertifikat nicht verwenden können. Dies kann zu Problemen mit domänenübergreifenden Richtlinien im Browser führen und die Wartung einer Site komplexer gestalten.

Die AWS-Mitarbeiter haben mir versichert, dass die HTTPS-Unterstützung für CNAME-Verteilungen auf ihrer Featureliste steht, für die Priorisierung jedoch Community-Unterstützung erforderlich ist. Füllen Sie dazu die CloudFront-Umfrage aus (siehe unten) und beachten Sie diese Funktionsanforderung. AWS-Mitarbeiter verwenden die aus der Umfrage gesammelten Daten zur Planung und Priorisierung der CloudFront-Roadmap.

Beachten Sie, dass HTTPS CNAME-Unterstützung erforderlich ist, wenn Sie an der CloudFront-Umfrage teilnehmen: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

BEARBEITEN: Hat einen Beitrag vom 11. Juni 2012 zur Kenntnis genommen, in dem AWS den Umfragelink aktualisiert hat:

Neuer Umfrage-Link: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Ich denke, es ist die Zeit wert, ihnen Feedback zu geben, wie CNAME + SSL zu einer unterstützten Funktion gemacht wird.

BEARBEITEN: Angekündigt am 11. Juni 2013 werden benutzerdefinierte SSL-Zertifikate mit dedizierten IPs jetzt mit CloudFront unter AWS unterstützt:

Weitere Informationen finden Sie in der Funktionsankündigung im AWS-Blog: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html)

Bevor Sie sich für diese Route entscheiden, müssen Sie feststellen, dass die Abweichung von der https: // [distribution] .cloudfront.net -Route einen erheblichen Wert hat, da der Preis für das Hosting 600 USD pro Monat beträgt benutzerdefinierte SSL-Zertifikate.

BEARBEITEN: Angekündigt am 5. März 2014 werden benutzerdefinierte SSL-Zertifikate mit Server Name Indication (SNI) jetzt mit CloudFront unter AWS-NO unterstützt ZUSATZGEBÜHR:

AWS unterstützt jetzt benutzerdefinierte SSL-Zertifikate über SNI. Dies ist RIESIG, da es die Möglichkeit eröffnet, die vorhandene Infrastruktur (IP-Adressen) von AWS zu nutzen. Aus diesem Grund berechnet AWS für diesen Service keine zusätzlichen Kosten! Weitere Informationen finden Sie im AWS-Blogbeitrag: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

Ein Punkt, der jedoch beachtet werden sollte: Die Server Name Indication (SNI) weist einige Nachteile auf, die berücksichtigt werden sollten, bevor man sich vollständig darauf verlässt. Insbesondere wird es von einigen älteren Browsern nicht unterstützt. Wenn Sie dies besser verstehen möchten, lesen Sie: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

BEARBEITEN: AWS hat am 21. Januar 2016 angekündigt, benutzerdefinierte SSL-Zertifikate KOSTENLOS bereitzustellen!

Informationen zur vollständigen Ankündigung auf der AWS-Website finden Sie unter: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon hat einen neuen Dienst namens AWS Certificate Manager angekündigt, der kostenlose SSL/TLS-Zertifikate für AWS-Ressourcen anbietet.

Diese Zertifikate werden in der Regel von Drittanbietern von Zertifikaten wie Symantec, Comodo und RapidSSL erworben und können je nach der durchgeführten Identitätsprüfung zwischen 50 und Hunderten von US-Dollar kosten.

Das Beziehen eines neuen Zertifikats war immer etwas umständlich. Es musste eine Zertifikatsignierungsanforderung auf dem zu schützenden Server erstellt, an einen Zertifikatanbieter gesendet und das Zertifikat nach Erhalt installiert werden. Da Amazon den gesamten Prozess verwaltet, entfällt all dies und Zertifikate können schnell und automatisch auf AWS-Ressourcen ausgestellt und bereitgestellt werden.

Für die Zertifikate gelten einige Einschränkungen. Amazon stellt nur Domain-validierte Zertifikate zur Verfügung, eine einfache Überprüfung, bei der die Domain-Validierung per E-Mail erfolgt. Wenn Sie ein Extended Validation-Zertifikat wünschen, können Sie sich an die aktuellen Zertifikatanbieter halten. Darüber hinaus können die Zertifikate nicht für die Codesignatur oder E-Mail-Verschlüsselung verwendet werden.

16