PROSZĘ ZWRÓCIĆ UWAGĘ NA PONIŻSZE EDYCJE I AKTUALIZACJE
W chwili pisania tego (23 maja 2012 r.) Protokół SSL jest obsługiwany za pośrednictwem dystrybucyjnego adresu URL CloudFront tylko. Oznacza to, że nie możesz CNAME adresu URL SSL. Konkretnie, możesz odwoływać się do przedmiotu za pośrednictwem protokołu SSL jako:
https://[distribution].cloudfront.net/picture.jpg
ale nie:
https://cdn.mydomain.com/picture.jpg
gdzie cdn.moja_domena.com to CNAME dla [dystrybucji] .cloudfront.net. Obecnie będziesz otrzymywać błędy SSL.
Oznacza to, że nie możesz użyć nazwy domeny lub certyfikatu SSL. Może to powodować problemy z zasadami dotyczącymi wielu domen w przeglądarce, a także zwiększać złożoność utrzymania witryny.
Personel AWS zapewnił mnie, że obsługa HTTPS dla dystrybucji CNAME znajduje się na ich liście funkcji, ale że wymaga ona wsparcia społeczności w celu ustalenia priorytetów. Aby pomóc w tych wysiłkach, wypełnij ankietę CloudFront (patrz poniżej) i zwróć uwagę na to żądanie funkcji. Pracownicy AWS wykorzystują dane zebrane z ankiety do planowania i ustalania priorytetów mapy drogowej CloudFront.
Pamiętaj, że podczas wypełniania ankiety CloudFront Survey wymagana jest obsługa HTTPS CNAME: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK
EDYCJA: Zauważyłem post z 11 czerwca 2012 r., Że AWS zaktualizowało link do ankiety:
Nowy link do ankiety: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS
Myślę, że warto poświęcić czas na wyrażenie opinii o tym, czy CNAME + SSL jest obsługiwaną funkcją.
EDYCJA: Ogłoszone 11 czerwca 2013 r., Niestandardowe certyfikaty SSL z dedykowanymi adresami IP są teraz obsługiwane przez CloudFront w AWS:
Zobacz ogłoszenie funkcji na blogu AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html
Jedna rzecz do rozważenia przed wybraniem się na tę trasę, musisz zobaczyć znaczącą wartość odejścia od trasy https: // [dystrybucja] .cloudfront.net, ponieważ cena wynosi 600 USD miesięcznie za hosting niestandardowych certyfikatów SSL.
EDYCJA: Ogłoszone 5 marca 2014 r. Niestandardowe certyfikaty SSL przy użyciu Wskazania nazwy serwera (SNI) są teraz obsługiwane przez CloudFront w AWS - BRAK DODATKOWEJ OPŁATY:
AWS obsługuje teraz niestandardowe certyfikaty SSL za pośrednictwem SNI. Jest to OGROMNE, ponieważ otwiera możliwość wykorzystania istniejącej infrastruktury AWS (adresy IP). W związku z tym AWS nie pobiera dodatkowych opłat za tę usługę! Aby dowiedzieć się więcej, przeczytaj o tym na blogu AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html
Jedną z rzeczy, na którą należy zwrócić uwagę, Server Name Indication (SNI) ma pewne wady, które należy rozważyć przed całkowitym poleganiem na nim. W szczególności nie jest obsługiwane przez niektóre starsze przeglądarki. Jeśli chcesz to lepiej zrozumieć, zobacz: /programming/5154596/is-ssl-sni-actally-used-and-supported-in-browsers
EDYCJA: AWS ogłoszony 21 stycznia 2016 r., Dostarczy niestandardowe certyfikaty SSL ZA DARMO!
Aby przeczytać o pełnym ogłoszeniu na stronie AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/
Amazon ogłosił nową usługę o nazwie AWS Certificate Manager, oferującą bezpłatne certyfikaty SSL / TLS dla zasobów AWS.
Certyfikaty te są zwykle kupowane od zewnętrznych dostawców certyfikatów, takich jak Symantec, Comodo i RapidSSL, i mogą kosztować od 50 do setek dolarów, w zależności od poziomu przeprowadzonej weryfikacji tożsamości.
Proces uzyskiwania nowego certyfikatu zawsze był nieco uciążliwy, wymagając wygenerowania żądania podpisania certyfikatu na chronionym serwerze, wysłania tego żądania do dostawcy certyfikatu, a następnie zainstalowania certyfikatu po jego otrzymaniu. Ponieważ Amazon zarządza całym procesem, wszystko to znika, a certyfikaty mogą być szybko wydawane i automatycznie przydzielane do zasobów AWS.
Istnieje kilka ograniczeń certyfikatów. Amazon zapewnia tylko certyfikaty z walidacją domeny, prosta weryfikacja, w której walidacja domeny odbywa się za pośrednictwem poczty elektronicznej. Jeśli chcesz mieć certyfikat Extended Validation, możesz trzymać się jego obecnych dostawców certyfikatów. Ponadto certyfikatów nie można używać do podpisywania kodu ani szyfrowania wiadomości e-mail.