it-swarm-tr.com

HTTPS'yi Amazon'un CloudFront CDN ve CNAME'leri ile kullanmanın bir yolu var mı?

Amazon'un CloudFront CDN'sini, ana etki alanı altında duran özel CNAME'lerle kullanıyoruz (static1.example.com). Her ne kadar bu tekdüze görünümü bozabilir ve orijinal whatever123wigglyw00.cloudfront.net URL'lerini HTTPS kullanmak için kullanabilirsek de, başka bir yolu var mı?

Amazon veya benzer bir sağlayıcı, HTTPS CDN hosting hizmeti veriyor mu?

TLS ve seçici şifrelemesi bir yerde kullanılabilir mi (SNI: Sunucu Adı Göstergesi)?

Ayak notu: cevabın hayır olduğunu varsayarak, ancak birisinin bildiği umuduyla.

EDIT: Şimdi Google App Engine kullanarak https://developers.google.com/appengine/docs/ssl için CDN desteği ile SSL desteği.

16
Metalshark

CNAME'ler ve HTTPS içeren CloudFront desteklenmez, CloudFront CNAME belgeleri içindeki ilk nota bakın.

Düşük maliyetli CDN'lerin hiçbirinin CNAME'leri ve HTTPS'yi desteklemediğini, şifrelenmemiş sertifikanızı CDN ağlarına yüklemeniz için bir yolun olması gerektiğini düşünmüyorum.

18
carson

LÜTFEN AŞAĞIDAKİ GÜNCELLEME VE GÜNCELLEME LÜTFEN DİKKAT EDİNİZ

Bunu yazmamdan itibaren (23 Mayıs 2012), SSL CloudFront dağıtım URL'si yoluyla desteklenir sadece. Yani, SSL URL'sini CNAME olarak atamazsınız. Somut olarak, SSL ile bir öğeye şu şekilde başvurabilirsiniz:

https://[distribution].cloudfront.net/picture.jpg

ama değil:

https://cdn.mydomain.com/picture.jpg

cdn.mydomain.com [dağıtım] .cloudfront.net için bir CNAME'dir. Şu anda SSL hataları alacaksınız.

Bu, etki alanı adınızı veya SSL sertifikanızı kullanamayacağınız anlamına gelir. Bu, tarayıcıdaki etki alanları arası politikalarla ilgili sorunlara neden olabilir ve bir sitenin bakımına karmaşıklığı geri getirebilir.

AWS personeli tarafından, CNT dağıtımı için HTTPS desteğinin özellik listesinde yer aldığından ancak önceliklendirme için topluluk desteğine ihtiyaç duyduğundan emin oldum. Bu çabaya yardımcı olmak için lütfen CloudFront anketini doldurun (aşağıya bakınız) ve bu özellik isteğine dikkat edin. AWS personeli anketten toplanan verileri CloudFront yol haritasının planlanması ve önceliklendirilmesi için kullanır.

CloudFront Anketi'ne katılırken HTTPS CNAME desteğinin gerekli olduğunu unutmayın: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: 11 Haziran 2012'den itibaren AWS'nin anket bağlantısını güncellediği bir yayına dikkat edin:

Yeni Anket Bağlantısı: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

CNAME + SSL'yi desteklenen bir özellik yapma konusunda geri bildirim sağlama zamanının geleceğini düşünüyorum.

EDIT: 11 Haziran 2013 tarihinde açıklandı, Özel IP’ler olan özel SSL Sertifikaları artık AWS’de CloudFront ile destekleniyor:

AWS Blogunda bulunan özellik duyurularına bakın: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-Amazon-cloudfront.html

Bu rotaya gitmeden önce göz önünde bulundurmanız gereken bir husus, https: // [distribution] .cloudfront.net yönünden sapmadan kayda değer bir değer görmeniz gerekiyor. Özel SSL sertifikaları.

EDIT: 5 Mart 2014 tarihinde açıklandı, Sunucu Adı Göstergesini (SNI) kullanan özel SSL Sertifikaları artık AWS'de CloudFront ile destekleniyor - NO EK ŞARJ:

AWS artık SNI üzerinden özel SSL Sertifikalarını destekliyor. Bu, AWS'nin mevcut altyapısından (IP adresleri) yararlanma olasılığını açtığı için BÜYÜKTÜR. Gibi, AWS bu hizmet için ekstra ücret almaz! Daha fazla bilgi edinmek için AWS blog yazısında okuyun: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-Amazon -cloudfront.html

Yine de belirtilmesi gereken bir öğe, Sunucu Adı Göstergesi (SNI), tamamen güvenmeden önce göz önünde bulundurulması gereken bazı dezavantajlara sahiptir. Özellikle bazı eski tarayıcılar tarafından desteklenmiyor. Bunu daha iyi anlamak istiyorsanız, bakınız: https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS, 21 Ocak 2016 tarihinde duyurulan, BEDAVA özel SSL Sertifikaları sağlayacak!

AWS sitesinde tüm duyuruyu okumak için: https://aws.Amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon, AWS Sertifika Yöneticisi adında yeni bir servis olduğunu ve AWS kaynakları için ücretsiz SSL/TLS sertifikaları sunduğunu açıkladı.

Bu sertifikalar genellikle Symantec, Comodo ve RapidSSL gibi üçüncü taraf sertifika sağlayıcılarından satın alınır ve gerçekleştirilen kimlik doğrulama seviyesine bağlı olarak 50 ila yüz dolar arasında bir yere mal olabilir.

Yeni bir sertifika alma süreci her zaman biraz karışıktı, sunucuda bir Sertifika İmzalama İsteği oluşturulmasını, bu isteği bir sertifika sağlayıcısına göndermesini ve alındıktan sonra sertifikayı yüklemeyi gerektiriyordu. Amazon tüm süreci yönettiği için, hepsi ortadan kalkar ve sertifikalar otomatik olarak AWS kaynaklarına hızlı bir şekilde verilebilir ve sağlanabilir.

Sertifikalarda bazı sınırlamalar vardır. Amazon, yalnızca alan adı doğrulanmış sertifikalar sunar; alan adı doğrulamanın e-posta yoluyla gerçekleştiği basit bir doğrulamadır. Genişletilmiş Doğrulama sertifikası istiyorsanız, mevcut sertifika sağlayıcılarına bağlı kalabilirsiniz. Ayrıca, sertifikalar kod imzalama veya e-posta şifreleme için kullanılamaz.

16