Existe-t-il un moyen d'utiliser HTTPS avec les CDN et CNAME CloudFront d'Amazon?

Nous utilisons le CDN CloudFront d'Amazon avec des CNAME personnalisés suspendus sous le domaine principal (static1.example.com). Bien que nous puissions briser cette apparence uniforme et utiliser les URL originales123123gglyw00.cloudfront.net pour utiliser HTTPS, existe-t-il un autre moyen?

Amazon ou tout autre fournisseur similaire propose-t-il un hébergement CDN HTTPS?

TLS et son chiffrement sélectif sont-ils disponibles pour une utilisation quelque part (SNI: Server Name Indication)?

Note de bas de page: en supposant que la réponse est non, mais juste dans l'espoir que quelqu'un le sache.

EDIT : utilise désormais Google App Engine https://developers.google.com/appengine/docs/ssl pour l'hébergement CDN avec prise en charge SSL.

CloudFront avec CNAME et HTTPS n'est pas pris en charge, consultez la première note dans la documentation CloudFront CNAME .

Je ne pense pas que les CDN à faible coût prennent en charge les CNAME et HTTPS ensemble, pour ce faire, ils devraient avoir un moyen pour vous de télécharger votre certificat non crypté sur leur réseau CDN.

VEUILLEZ NOTER LES MODIFICATIONS ET MISES À JOUR CI-DESSOUS

Au moment où j'écris ceci (23 mai 2012), SSL est pris en charge via l'URL de distribution CloudFront seulement. Cela signifie que vous ne pouvez pas CNAME l'URL SSL. Concrètement, vous pouvez référencer un article via SSL comme:

https://[distribution].cloudfront.net/picture.jpg

mais non:

https://cdn.mydomain.com/picture.jpg

où cdn.mydomain.com est un CNAME vers [distribution] .cloudfront.net. À l'heure actuelle, vous obtiendrez des erreurs SSL.

Cela signifie que vous ne pouvez pas utiliser votre nom de domaine ou votre certificat SSL. Cela peut entraîner des problèmes avec les politiques interdomaines dans le navigateur et ajouter une complexité d'annulation à la maintenance d'un site.

Le personnel AWS m'a assuré que la prise en charge HTTPS pour la distribution des CNAME figure sur leur liste de fonctionnalités, mais qu'il a besoin de la prise en charge de la communauté pour la hiérarchisation. Pour aider dans cet effort, veuillez remplir l'enquête CloudFront (voir ci-dessous) et noter cette demande de fonctionnalité. Le personnel AWS utilise les données recueillies lors de l'enquête pour planifier et hiérarchiser la feuille de route CloudFront.

Assurez-vous de noter que la prise en charge de HTTPS CNAME est nécessaire lorsque vous répondez à CloudFront Survey: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK

EDIT: a remarqué un article du 11 juin 2012 selon lequel AWS avait mis à jour le lien de l'enquête:

Nouveau lien d'enquête: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS

Je pense qu'il vaut la peine de leur fournir des commentaires sur la façon de faire de CNAME + SSL une fonctionnalité prise en charge.

EDIT: Annoncé le 11 juin 2013, les certificats SSL personnalisés avec des adresses IP dédiées sont désormais pris en charge avec CloudFront sur AWS:

Voir l'annonce des fonctionnalités sur le blog AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html

Un élément à considérer avant de compter sur cette route, vous devez voir une valeur significative en s'écartant de la route https: // [distribution] .cloudfront.net car le prix est de 600 USD par mois pour l'hébergement de certificats SSL personnalisés.

EDIT: Annoncé le 5 mars 2014, les certificats SSL personnalisés utilisant l'indication de nom de serveur (SNI) sont désormais pris en charge avec CloudFront sur AWS - AUCUN FRAIS SUPPLÉMENTAIRE:

AWS prend désormais en charge les certificats SSL personnalisés via SNI. C'est ÉNORME car cela ouvre la possibilité de tirer parti de l'infrastructure existante d'AWS (adresses IP). En tant que tel, AWS ne facture aucun supplément pour ce service! Pour en savoir plus, lisez-le sur le blog AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html

Un élément à noter cependant, l'indication de nom de serveur (SNI) présente certains inconvénients qui doivent être pris en compte avant de s'y fier complètement. En particulier, il n'est pas pris en charge par certains navigateurs plus anciens. Si vous voulez mieux comprendre cela, voir: /programming/5154596/is-ssl-sni-actually-used-and-supported-in-browsers

EDIT: AWS a annoncé le 21 janvier 2016 qu'ils fourniront des certificats SSL personnalisés GRATUITEMENT!

Pour en savoir plus sur l'annonce complète sur le site AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/

Amazon a annoncé un nouveau service appelé AWS Certificate Manager, offrant des certificats SSL / TLS gratuits pour les ressources AWS.

Ces certificats sont généralement achetés auprès de fournisseurs de certificats tiers tels que Symantec, Comodo et RapidSSL et peuvent coûter de 50 $ à des centaines de dollars, selon le niveau de vérification d'identité effectué.

Le processus d'obtention d'un nouveau certificat a toujours été un peu compliqué, nécessitant la génération d'une demande de signature de certificat sur le serveur protégé, l'envoi de cette demande à un fournisseur de certificats, puis l'installation du certificat une fois reçu. Comme Amazon gère tout le processus, tout cela disparaît et les certificats peuvent être rapidement émis et provisionnés automatiquement sur les ressources AWS.

Il y a quelques limitations aux certificats. Amazon ne fournit que des certificats validés par domaine, une simple vérification où la validation du domaine a lieu par e-mail. Si vous souhaitez un certificat de validation étendue, vous pouvez vous en tenir à leurs fournisseurs de certificats actuels. De plus, les certificats ne peuvent pas être utilisés pour la signature de code ou le cryptage des e-mails.