メインドメイン(static1.example.com)の下にあるカスタムCNAMEでAmazonのCloudFront CDNを使用します。この統一された外観を壊し、元のwhatever123wigglyw00.cloudfront.net URLを使用してHTTPSを利用することはできますが、別の方法はありますか?
Amazonまたは他の同様のプロバイダーはHTTPS CDNホスティングを提供していますか?
TLSとその選択的暗号化はどこかで使用できますか(SNI:Server Name Indication)?
脚注:答えはノーであると仮定しますが、誰かが知っていることを望んでいます。
編集:Google App Engine https://developers.google.com/appengine/docs/sslを使用して、SSLをサポートするCDNホスティングを使用するようになりました。
回答:
CNAMEおよびHTTPSを使用するCloudFrontはサポートされていません。CloudFrontCNAME ドキュメントの最初の注意を参照してください。
低価格のCDNがCNAMEとHTTPSを一緒にサポートしているとは思えません。そのためには、暗号化されていない証明書をCDNネットワークにアップロードする何らかの方法が必要になります。
以下の編集と更新に注意してください
これを書いている時点(2012年5月23日)では、SSLはCloudFrontディストリビューションURLを介してサポートされています のみ。つまり、SSL URLをCNAMEすることはできません。 具体的には、SSL経由で次のようにアイテムを参照できます。
https://[distribution].cloudfront.net/picture.jpg
だがしかし:
https://cdn.mydomain.com/picture.jpg
cdn.mydomain.comは、[distribution] .cloudfront.netへのCNAMEです。現在、SSLエラーが発生します。
これは、ドメイン名またはSSL証明書を使用できないことを意味します。これにより、ブラウザのクロスドメインポリシーで問題が発生する可能性があり、サイトのメンテナンスに元に戻す複雑さが追加されます。
配布CNAMEのHTTPSサポートは機能リストに載っていますが、優先順位付けのためにコミュニティのサポートが必要であることを、AWSスタッフから確信しています。この取り組みを支援するために、CloudFrontの調査(下記を参照)に記入し、この機能リクエストに注意してください。AWSのスタッフは、調査から収集したデータを使用して、CloudFrontロードマップの計画と優先順位付けを行います。
CloudFront Surveyを行うときは、HTTPS CNAMEサポートが必要であることに注意してください:http ://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK
編集:2012年6月11日の投稿で、AWSが調査リンクを更新したことに気付きました。
新しい調査リンク:http : //aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS
CNAME + SSLをサポートされる機能にすることについてフィードバックを提供する価値があると思います。
編集:2013年6月11日に発表され、専用IPを持つカスタムSSL証明書が AWSのCloudFrontでサポートされるようになりました。
AWSブログの機能発表を参照してください:http : //aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html
このルートに進む前に考慮すべき1つの項目は、価格がカスタムSSL証明書をホストするために月額600ドルであるため、https:// [distribution] .cloudfront.netルートから逸脱することから大きな価値を確認する必要があります。
編集:2014年3月5日に発表された、サーバー名表示(SNI)を使用したカスタムSSL証明書がAWSのCloudFrontでサポートされるようになりました-追加料金なし:
AWSは、SNI経由のカスタムSSL証明書をサポートするようになりました。これは、AWSの既存のインフラストラクチャ(IPアドレス)を活用する可能性を開くため、非常に大きなものです。そのため、AWSはこのサービスに追加料金を請求しません!詳細については、AWSブログ投稿(http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html)でそれについてお読みください。
ただし、サーバー名表示(SNI)には、それに完全に依存する前に考慮すべきいくつかの欠点があります。特に、一部の古いブラウザではサポートされていません。これをよりよく理解したい場合は、https://stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsersを参照してください。
編集:2016年1月21日に発表されたAWSは、カスタムSSL証明書を無料で提供します!
AWSサイトでの完全な発表について読むには:https : //aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/
AmazonはAWS Certificate Managerと呼ばれる新しいサービスを発表し、AWSリソース用の無料のSSL / TLS証明書を提供しています。
これらの証明書は通常、Symantec、Comodo、RapidSSLなどのサードパーティの証明書プロバイダーから購入され、実行されるID検証のレベルに応じて50ドルから数百ドルの費用がかかります。
新しい証明書を取得するプロセスは常に少し面倒で、保護されているサーバーで証明書署名要求を生成し、その要求を証明書プロバイダーに送信し、受信した証明書をインストールする必要があります。Amazonがプロセス全体を管理しているため、そのすべてがなくなり、証明書をAWSリソースで迅速に発行およびプロビジョニングできます。
証明書にはいくつかの制限があります。Amazonはドメイン検証済み証明書のみを提供します。これは、ドメイン検証がメールで行われる簡単な検証です。拡張検証証明書が必要な場合は、現在の証明書プロバイダーに固執することがあります。また、証明書をコード署名や電子メールの暗号化に使用することはできません。