Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME)

Todos los nombres de dominio alternativos (CNAME) deben estar en minúsculas.

Para añadir un nombre de dominio alternativo (CNAME) a una distribución de CloudFront, se debe adjuntar a la distribución un certificado SSL/TLS válido de confianza que haya sido emitido para el nombre de dominio alternativo. De este modo, se garantiza que solo las personas con acceso al certificado del dominio pueden asociar a CloudFront un CNAME relacionado con el dominio.

Un certificado de confianza es el que emite AWS Certificate Manager (ACM) u otra entidad de certificación (CA) válida. Puede utilizar un certificado autofirmado para validar un CNAME existente, pero no para un CNAME nuevo. CloudFront admite las mismas entidades de certificación que Mozilla. Para consultar la lista actualizada, visite Mozilla Included CA Certificate List.

Para verificar un nombre de dominio alternativo mediante el certificado que se asocia, incluidos los nombres de dominio alternativos que incluyen comodines, CloudFront comprueba el nombre alternativo de asunto (SAN) en el certificado. El nombre de dominio alternativo que va a añadir debe estar incluido en el SAN.

Para demostrar que tiene autorización para añadir un nombre de dominio alternativo a la distribución, realice una de las operaciones siguientes:

Los siguientes ejemplos ilustran cómo el uso de caracteres comodín en los nombres de dominio de un certificado sirven para permitirle que agregue otros nombres de dominio alternativos específicos a CloudFront.

Cuando añade nombres de dominio alternativos, debe crear registros CNAME para enrutar las consultas de DNS de los nombres de dominio alternativos a su distribución de CloudFront. Para ello, debe tener permiso para crear registros CNAME en el proveedor de servicios de DNS para los nombres de dominio alternativos que está utilizando. Por lo general, esto indicará que es el propietario de los dominios, aunque también puede estar desarrollando una aplicación para el propietario del dominio.

Si desea que los espectadores utilicen HTTPS con un nombre de dominio alternativo, debe configurar ajustes adicionales. Para obtener más información, consulte Uso de nombres de dominio alternativos y HTTPS.

Para obtener el número máximo actual de nombres de dominio alternativos que puede agregar a una distribución o solicitar una cuota (antes denominada límite) más alta, consulte Cuotas generales de distribuciones.

No puede añadir un nombre de dominio alternativo a una distribución de CloudFront si el mismo nombre de dominio alternativo ya existe en otra distribución de CloudFront, incluso si su cuenta de AWS es propietaria de la otra distribución.

Sin embargo, puede añadir un nombre de dominio alternativo comodín como, por ejemplo *.ejemplo.com, que incluya (que se superponga) un nombre de dominio alternativo no comodín, como por ejemplo www.ejemplo.com. Si tiene nombres de dominio alternativos superpuestos en dos distribuciones, CloudFront envía la solicitud a la distribución que tiene la coincidencia de nombre más específica, independientemente de la distribución a la que apunta el registro DNS. Por ejemplo, marketing.dominio.com es más específico que *.dominio.com.

Si ya tiene una entrada DNS comodín que apunta a una distribución de CloudFront y recibe un error de DNS configurado incorrectamente al intentar agregar un nuevo CNAME con un nombre más específico, consulte CloudFront devuelve un error de registro DNS mal configurado al intentar agregar un nuevo CNAME.

CloudFront incluye protección contra el domain fronting que se produce en diferentes cuentas de AWS. Domain fronting es una situación en la que un cliente no estándar crea una conexión TLS/SSL con un nombre de dominio de una cuenta de AWS, pero a continuación realiza una solicitud HTTPS para un nombre no relacionado de otra cuenta de AWS. Por ejemplo, la conexión TLS puede conectarse a www.ejemplo.com y, a continuación, enviar una solicitud HTTP a www.ejemplo.org.

Para evitar los casos en los que el domain fronting atraviesa distintas cuentas de AWS, CloudFront se asegura de que la cuenta de AWS a la que pertenece el certificado que sirve para una conexión específica siempre coincida con la cuenta de AWS a la que pertenece la solicitud que administra en esa misma conexión.

Si los dos números de cuenta de AWS no coinciden, CloudFront responderá con una respuesta HTTP 421 de solicitud enviada a un servidor que no puede producir una respuesta para dar al cliente la oportunidad de conectarse usando el dominio correcto.

Al agregar un nombre de dominio alternativo a una distribución, normalmente debe crear un registro CNAME en su configuración de DNS para dirigir las consultas de DNS del nombre de dominio a su distribución de CloudFront. Sin embargo, no puede crear un registro CNAME para el nodo superior de un espacio de nombres de DNS, también conocido como ápex de zona; el protocolo de DNS no lo permite. Por ejemplo, si registra el nombre DNS ejemplo.zom, el ápex de zona será ejemplo.com. No puede crear un registro CNAME para ejemplo.com, pero puede crear registros CNAME para www.ejemplo.com, productonuevo.ejemplo.com, etc.

Si utiliza Route 53 como servicio de DNS, puede crear un conjunto de registros de recursos de alias, que tiene dos ventajas con respecto a los registros CNAME. Puede crear un conjunto de registros de recursos de alias para un nombre de dominio en el nodo principal (example.com). Además, al usar un conjunto de registros de recursos de alias, no tiene que pagar por las consultas de Route 53.

Para obtener más información, consulte Direccionamiento del tráfico a una distribución web de Amazon CloudFront mediante el nombre de dominio en la Guía para desarrolladores de Amazon Route 53.