it-swarm.asia

هل هناك طريقة لاستخدام HTTPS مع أمازون CloudFront CDN و CNAMEs؟

نحن نستخدم الأمازون CloudFront CDN مع CNAMEs معلقة تحت النطاق الرئيسي (static1.example.com). على الرغم من أنه يمكننا كسر هذا المظهر الموحد واستخدام عناوين URL بغض النظر عن 123wigglyw00.cloudfront.net لاستخدام HTTPS ، هل هناك طريقة أخرى؟

هل توفر أمازون أو أي مزود خدمات مشابه آخر استضافة HTTPS CDN؟

هل TLS والتشفير الانتقائي الخاص به متاح للاستخدام في مكان ما (SNI: اسم خادم إشارة)؟

ملاحظة القدم: على افتراض أن الإجابة هي لا ، ولكن فقط على أمل أن يعلم شخص ما

EDIT: الآن باستخدام Google App Engine https://developers.google.com/appengine/docs/ssl for CDN استضافة مع دعم SSL.

16
Metalshark

CloudFront مع CNAMEs و HTTPS غير مدعومين ، راجع الملاحظة الأولى في وثائق CloudFront CNAME .

لا أعتقد أن أيًا من شبكات CDN منخفضة التكلفة لديه دعم CNAMEs و HTTPS معًا ، للقيام بذلك ، يجب أن يكون أمامهما طريقة ما لتحميل الشهادة غير المشفرة إلى شبكة CDN الخاصة بهما.

18
carson

يرجى ملاحظة التعديلات والتحديثات أدناه

بتاريخ كتابة هذا (23 مايو 2012) ، يتم دعم طبقة المقابس الآمنة عبر عنوان URL لتوزيع CloudFront فقط. بمعنى ، لا يمكنك CNAME URL SSL. بشكل ملموس ، يمكنك الرجوع إلى عنصر عبر SSL كـ:

https://[distribution].cloudfront.net/picture.jpg

لكن لا:

https://cdn.mydomain.com/picture.jpg

حيث cdn.mydomain.com هو CNAME إلى [التوزيع] .cloudfront.net. في الوقت الحالي سوف تحصل على أخطاء SSL.

هذا يعني أنك غير قادر على استخدام اسم المجال الخاص بك أو شهادة SSL. قد يتسبب هذا في حدوث مشكلات في سياسات النطاق المتبادل في المتصفح بالإضافة إلى إضافة تعقيد التراجع إلى صيانة الموقع.

لقد أكد لي موظفو AWS أن دعم HTTPS للتوزيع CNAMEs مدرج في قائمة الميزات الخاصة بهم ولكنه يحتاج إلى دعم المجتمع لتحديد الأولويات. للمساعدة في هذا الجهد ، يرجى ملء استطلاع CloudFront (انظر أدناه) ولاحظ طلب هذه الميزة. يستخدم موظفو AWS البيانات التي تم جمعها من الاستطلاع للتخطيط وترتيب أولويات خريطة طريق CloudFront.

تأكد من ملاحظة أن دعم HTTPS CNAME ضروري عند إجراء مسح CloudFront: http://aws.qualtrics.com/SE/؟SID=SV_9yvAN5PK8abJIFK

تحرير: لاحظت منشورًا بتاريخ 11 يونيو 2012 أن AWS قامت بتحديث رابط الاستطلاع:

رابط المسح الجديد: http://aws.qualtrics.com/SE/؟SID=SV_e4eM1cRblPaccFS

أعتقد أن الأمر يستحق الوقت لتزويدهم بتعليقات حول جعل CNAME + SSL ميزة معتمدة.

EDIT: تم الإعلان عنه في 11 يونيو 2013 ، يتم الآن دعم خدمة SSL المخصصة ذات عناوين IP المخصصة مع CloudFront على AWS:

راجع إعلان الميزة على مدونة AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

هناك عنصر واحد يجب مراعاته قبل الاعتماد على السير في هذا الطريق ، ستحتاج إلى رؤية قيمة كبيرة للانحراف عن المسار https: // [التوزيع] .cloudfront.net لأن السعر هو 600 دولار أمريكي شهريًا للاستضافة مخصصات SSL المخصصة.

EDIT: تم الإعلان عنه في 5 مارس 2014 ، يتم الآن دعم خدمة SSL المخصصة باستخدام مؤشر اسم الخادم (SNI) مع CloudFront على AWS - NO رسوم إضافية:

AWS يدعم الآن SSL Certs مخصص عبر SNI. هذا ضخم لأنه يفتح إمكانية الاستفادة من البنية التحتية الحالية لـ AWS (عناوين IP). على هذا النحو ، لا تتحمل AWS رسومًا إضافية مقابل هذه الخدمة! لمعرفة المزيد ، اقرأ عن ذلك في منشور مدونة AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

أحد العناصر التي يجب مراعاتها ، هو أن Server Name Indication (SNI) لديه بعض العيوب التي يجب مراعاتها قبل الاعتماد عليها تمامًا. على وجه الخصوص ، غير مدعوم من قبل بعض المتصفحات القديمة. إذا كنت تريد أن تفهم هذا بشكل أفضل ، فراجع: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

التحرير: تم إعلان AWS في 21 كانون الثاني (يناير) 2016 ، وسيوفرون خدمة SSL مخصصة مجانًا!

لقراءة حول الإعلان الكامل على موقع AWS: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

أعلنت أمازون عن خدمة جديدة تسمى AWS Certificate Manager ، تقدم شهادات SSL/TLS مجانية لموارد AWS.

عادةً ما يتم شراء هذه الشهادات من موفري شهادات الجهات الخارجية مثل Symantec و Comodo و RapidSSL ويمكن أن تتراوح تكلفتها من 50 دولارًا إلى مئات الدولارات ، اعتمادًا على مستوى التحقق من الهوية الذي تم إجراؤه.

لطالما كانت عملية الحصول على شهادة جديدة غير واضحة بعض الشيء ، حيث تتطلب إنشاء طلب توقيع شهادة على الخادم المحمي ، وإرسال هذا الطلب إلى موفر شهادة ، ثم تثبيت الشهادة بمجرد استلامها. نظرًا لأن Amazon تقوم بإدارة العملية بأكملها ، فإن كل ذلك يختفي ويمكن إصدار الشهادات بسرعة وتوفيرها على موارد AWS تلقائيًا.

هناك بعض القيود على الشهادات. توفر أمازون شهادات التحقق من صحة المجال فقط ، وهو إجراء تحقق بسيط حيث يتم التحقق من صحة المجال عبر البريد الإلكتروني. إذا كنت ترغب في الحصول على شهادة التحقق من الصحة الموسعة ، فيمكنك الالتزام بموفري الشهادات الحاليين. بالإضافة إلى ذلك ، لا يمكن استخدام الشهادات لتوقيع الرمز أو تشفير البريد الإلكتروني.

16
John Mark Mitchell