Exigencia de HTTPS para la comunicación entre CloudFront y su origen personalizado - Amazon CloudFront
Exigencia de HTTPS para orígenes personalizadosInstalación de un certificado SSL/TLS en su origen personalizado

Exigencia de HTTPS para la comunicación entre CloudFront y su origen personalizado

Puede exigir HTTPS para la comunicación entre CloudFront y su origen.

nota

Si su origen es un bucket de Amazon S3 configurado como punto de enlace del sitio web, no puede configurar CloudFront para usar HTTPS con su origen porque Amazon S3 no admite HTTPS para los puntos de enlace del sitio web.

Para requerir HTTPS entre CloudFront y su origen, siga los procedimientos de este tema para completar lo siguiente:

  1. En su distribución, cambiar la configuración de Origin Protocol Policy (Política de protocolo de origen) para el origen.

  2. Instalar un certificado SSL/TLS en su servidor de origen (no es necesario cuando se utiliza un origen de Amazon S3 o u otros orígenes de AWS determinados).

Exigencia de HTTPS para orígenes personalizados

En el siguiente procedimiento se explica cómo configurar CloudFront para que utilice HTTPS para comunicarse con un balanceador de carga de Elastic Load Balancing, una instancia de Amazon EC2 u otro origen personalizado. Para obtener información sobre el uso de la API de CloudFront para actualizar una distribución, consulte UpdateDistribution en la Referencia de la API de Amazon CloudFront.

Para configurar CloudFront para que requiera HTTPS entre CloudFront y su origen personalizado

  1. Inicie sesión en AWS Management Console y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel superior de la consola de CloudFront, elija el ID de la distribución que desea actualizar.

  3. En la pestaña Orígenes, elija el origen que desee actualizar y, a continuación, elija Editar.

  4. Actualice los siguientes valores de configuración:

    Origin Protocol Policy

    Cambie Origin Protocol Policy (Política de protocolo de origen) para los orígenes aplicables en su distribución:

    • HTTPS Only (Solo HTTPS): CloudFront solo utiliza HTTPS para comunicarse con su origen personalizado.

    • Match Viewer (Coincidir con lector): CloudFront se comunica con su origen personalizado mediante HTTP o HTTPS, en función del protocolo de la solicitud del lector. Por ejemplo, si elige Match Viewer (Coincidir con lector) en Origin Protocol Policy (Política de protocolo de origen) y el lector usa HTTPS para solicitar un objeto de CloudFront, CloudFront también usa HTTPS para reenviar la solicitud al origen.

      Elija Match Viewer (Coincidir con espectador) solo si especifica Redirect HTTP to HTTPS (Redireccionamiento de HTTP a HTTPS) o HTTPS Only (Solo HTTPS) en Viewer Protocol Policy (Política de protocolo del espectador).

      Tenga en cuenta que CloudFront almacena en caché el objeto solo una vez, incluso si los lectores realizan solicitudes a través de los protocolos HTTP y HTTPS.

    Origin SSL Protocols

    Elija Origin SSL Protocols (Protocolos SSL de orige) para los orígenes aplicables a su distribución. El protocolo SSLv3 es menos seguro, así que le recomendamos que lo seleccione únicamente si su origen no admite TLSv1 o una versión posterior. El protocolo de enlace TLSv1 es bidireccionalmente compatible con SSLv3, pero no con TLSv1.1 y posteriores. Cuando selecciona SSLv3, CloudFront solo envía solicitudes de protocolo de enlace SSLv3.

  5. Elija Guardar cambios.

  6. Repita los pasos 3 a 5 para cada origen adicional para el que desee solicitar HTTPS entre CloudFront y su origen personalizado.

  7. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:

    • El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.

    • Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte Patrón de ruta.

    • Los comportamientos de la caché son solicitudes de redirección a los orígenes cuyo valor de Origin Protocol Policy (Política de protocolos de origen) ha cambiado.

Instalación de un certificado SSL/TLS en su origen personalizado

Puede utilizar un certificado SSL/TLS de las siguientes fuentes en su origen personalizado:

  • Si su origen es un balanceador de carga de Elastic Load Balancing, puede utilizar un certificado proporcionado por AWS Certificate Manager (ACM). También puede utilizar un certificado firmado por una entidad de certificación de terceros de confianza e importado a ACM.

  • En el caso de orígenes diferentes a balanceadores de carga de Elastic Load Balancing, debe utilizar un certificado firmado por una entidad de certificación (CA) de terceros de confianza, como Comodo, DigiCert o Symantec.

El certificado devuelto del origen debe incluir uno de los siguientes nombres de dominio:

  • El nombre de dominio en el campo del origen Origin domain (Dominio de origen) (el campo DomainName en la API de CloudFront).

  • El nombre de dominio en el encabezado Host, si el comportamiento de la caché está configurado para reenviar el encabezado Host al origen.

Cuando CloudFront utiliza HTTPS para comunicarse con su origen, CloudFront verifica que el certificado haya sido emitido por una autoridad de certificados de confianza. CloudFront admite las mismas autoridades de certificados que Mozilla. Para consultar la lista actualizada, consulte Mozilla Included CA Certificate List. No se puede utilizar un certificado autofirmado para comunicación HTTPS entre CloudFront y su origen.

importante

En caso de que el servidor de origen devuelva un certificado expirado, no válido o autofirmado, o si el servidor de origen devuelve la cadena de certificados en el orden incorrecto, CloudFront interrumpe la conexión TCP, devuelve código de estado HTTP 502 (Puerta de enlace incorrecta) y establece el encabezado X-Cache como Error from cloudfront. Igualmente, si toda la cadena de certificados, incluidos los certificados intermedios, no está presente, CloudFront interrumpe la conexión TCP.