

# Uso de HTTPS con CloudFront
<a name="using-https"></a>

Puede configurar CloudFront para exigir a los lectores que utilicen HTTPS al solicitar sus conexiones, de modo que las conexiones se cifren cuando CloudFront se comunique con los lectores. También puede configurar CloudFront para utilizar HTTPS con su origen, de modo que las conexiones se cifran cuando CloudFront se comunica con el origen.

Si configura CloudFront para exigir HTTPS al comunicarse con lectores y con su origen, esto es lo que ocurre cuando CloudFront recibe una solicitud:

1. Un lector envía una solicitud HTTPS a CloudFront. Hay una negociación SSL/TLS entre el lector y CloudFront. Al final, el espectador envía la solicitud en un formato cifrado.

1. Si la ubicación de borde de CloudFront contiene una respuesta almacenada en la caché, CloudFront cifra la respuesta y la devuelve al lector, quien la descifra.

1. Si la ubicación de borde de CloudFront no contiene una respuesta almacenada en la caché, CloudFront realiza la negociación SSL/TLS con su origen y, cuando se haya completado la negociación, reenvía la solicitud al origen en un formato cifrado.

1. Su origen descifra la solicitud, la procesa (genera una respuesta), cifra la respuesta y la devuelve a CloudFront.

1. CloudFront descifra la respuesta, vuelve a cifrarla y la reenvía al lector. CloudFront también guarda en caché la respuesta en la ubicación de borde para que esté disponible la próxima vez que se solicite.

1. El espectador descifra la respuesta.

El proceso es prácticamente el mismo tanto si el origen es un bucket de Amazon S3, MediaStore o un origen personalizado como si es un servidor HTTP/S:

**nota**  
Para ayudar a frustrar los ataques de tipo SSL renegociación, CloudFront no admite renegociación de lector y las solicitudes de origen.

Como opción alternativa, puede activar la autenticación mutua para la distribución de CloudFront. Para obtener más información, consulte [Autenticación TLS mutua con CloudFront (mTLS de espectador)TLS mutua de origen con CloudFront](mtls-authentication.md).

Para obtener información acerca de cómo solicitar HTTPS entre lectores y CloudFront, y entre CloudFront y su origen, consulte los siguientes temas.

**Topics**
+ [Exigencia de HTTPS entre lectores y CloudFront](using-https-viewers-to-cloudfront.md)
+ [Exigencia de HTTPS en un origen personalizado](using-https-cloudfront-to-custom-origin.md)
+ [Exigencia de HTTPS en un origen de Amazon S3](using-https-cloudfront-to-s3-origin.md)
+ [Protocolos y cifrados admitidos entre lectores y CloudFront](secure-connections-supported-viewer-protocols-ciphers.md)
+ [Protocolos y cifrados admitidos entre CloudFront y el origen](secure-connections-supported-ciphers-cloudfront-to-origin.md)

# Exigencia de HTTPS para la comunicación entre lectores y CloudFront
<a name="using-https-viewers-to-cloudfront"></a>

Puede configurar uno o varios comportamientos de la caché en la distribución de CloudFront para que requieran HTTPS en la comunicación entre los lectores y CloudFront. También puede configurar uno o varios comportamientos de la caché para permitir HTTP y HTTPS, de forma que CloudFront requiera HTTPS para algunos objetos, pero no para otros. Los pasos de configuración dependerán del nombre de dominio objeto que use en URL de objetos:
+ Si utiliza el nombre de dominio que CloudFront ha asignado a su distribución, como, por ejemplo, d111111abcdef8.cloudfront.net, cambie la configuración de **Viewer Protocol Policy )Política de protocolo del lector)** de uno o varios comportamientos de la caché para que exijan que la comunicación se realice mediante HTTPS. En dicha configuración, CloudFront ofrece el certificado SSL/TLS. 

  Para cambiar el valor de **Viewer Protocol Policy (Política de protocolo del lector)** desde la consola de CloudFront, consulte el procedimiento más adelante en esta sección.

  Para obtener información acerca de cómo utilizar la API de CloudFront para cambiar el valor del elemento `ViewerProtocolPolicy`, consulte [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html) en la *Referencia de la API de Amazon CloudFront*.
+ Si utiliza su propio nombre de dominio, como example.com, necesita cambiar varias configuraciones de CloudFront. También tiene que utilizar un certificado SSL/TLS proporcionado por AWS Certificate Manager (ACM) o importar a ACM o el almacén de certificados de IAM un certificado de una entidad de certificación externa. Para obtener más información, consulte [Uso de nombres de dominio alternativos y HTTPS](using-https-alternate-domain-names.md).

**nota**  
Si desea asegurarse de que los objetos que los lectores obtienen de CloudFront se hayan cifrado cuando CloudFront los obtenga del origen, utilice siempre HTTPS entre CloudFront y el origen. Si ha cambiado recientemente de HTTP a HTTPS entre CloudFront y el origen, le recomendamos que invalide objetos en ubicaciones de borde de CloudFront. CloudFront devolverá un objeto a un lector independientemente de si el protocolo utilizado por dicho lector (HTTP o HTTPS) coincide con el protocolo que CloudFront utilizó para obtener el objeto. Para obtener más información acerca de la eliminación o la sustitución de objetos en una distribución, consulte [Agregación, eliminación o sustitución de contenido que distribuye CloudFront](AddRemoveReplaceObjects.md).

## Exigencia de HTTPS para lectores
<a name="configure-cloudfront-HTTPS-viewers"></a>

Para solicitar HTTPS entre los lectores y CloudFront para uno o varios comportamientos de la caché, siga el siguiente procedimiento.<a name="using-https-viewers-to-cloudfront-procedure"></a>

**Para configurar CloudFront para que requiera HTTPS entre lectores y CloudFront**

1. Inicie sesión en Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel superior de la consola de CloudFront, elija el ID de la distribución que desea actualizar.

1. En la pestaña **Comportamientos**, elija el comportamiento de caché que desee actualizar y, a continuación, elija **Editar**.

1. Especifique uno de los siguientes valores en **Política de protocolo de lector**:  
**Redireccionamiento de HTTP a HTTPS**  
Los espectadores pueden utilizar ambos protocolos. Las solicitudes HTTP `GET` y `HEAD` se redirigen automáticamente a solicitudes HTTPS. CloudFront devuelve el código de estado HTTP 301 (Movido permanentemente) junto con la nueva URL HTTPS. A continuación, el lector vuelve a enviar la solicitud a CloudFront través de la URL HTTPS.  
Si envía `POST`, `PUT`, `DELETE`, `OPTIONS` o `PATCH` a través de HTTP a un comportamiento de la caché de HTTP a HTTPS y una versión de protocolo de solicitud HTTP 1.1 o superior, CloudFront redirige la solicitud a una ubicación HTTPS con un código de estado HTTP 307 (Redirección temporal). Esto garantiza que la solicitud se envía de nuevo a la nueva ubicación con el mismo método y carga de cuerpo.  
Si envía solicitudes `POST`, `PUT`, `DELETE`, `OPTIONS` o `PATCH` a través de HTTP a un comportamiento de la caché HTTPS con una protocolo de solicitud de versión inferior a HTTP 1.1, CloudFront devuelve un código de estado HTTP 403 (Prohibido).
Cuando un lector realiza una solicitud HTTP que se redirige a una solicitud HTTPS, se aplican cargos de CloudFront a ambas solicitudes. En el caso de la solicitud HTTP, el cargo es solo para la solicitud y para los encabezados que CloudFront devuelve al lector. En el caso de la solicitud HTTPS, el cargo es por la solicitud y por los encabezados y el objeto que devuelve el origen.  
**Solo HTTPS**  
Los espectadores pueden obtener acceso a su contenido solo si utilizan HTTPS. Si un lector envía una solicitud HTTP en lugar de una solicitud HTTPS, CloudFront devuelve código de estado HTTP 403 (Prohibido) y no devuelve el objeto.

1. Seleccione **Save changes (Guardar cambios)**.

1. Repita los pasos 3 a 5 para cada comportamiento de la caché adicional para el que desee solicitar HTTPS entre los lectores y CloudFront.

1. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:
   + El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.
   + Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte [Patrón de ruta](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + Los comportamientos de la caché son solicitudes de redirección hacia los orígenes correctos. 

# Exigencia de HTTPS para la comunicación entre CloudFront y su origen personalizado
<a name="using-https-cloudfront-to-custom-origin"></a>

Puede exigir HTTPS para la comunicación entre CloudFront y su origen.

**nota**  
Si su origen es un bucket de Amazon S3 configurado como punto de enlace del sitio web, no puede configurar CloudFront para usar HTTPS con su origen porque Amazon S3 no admite HTTPS para los puntos de enlace del sitio web.

Para requerir HTTPS entre CloudFront y su origen, siga los procedimientos de este tema para completar lo siguiente:

1. En su distribución, cambiar la configuración de **Origin Protocol Policy (Política de protocolo de origen)** para el origen.

1. Instalar un certificado SSL/TLS en su servidor de origen (no es necesario cuando se utiliza un origen de Amazon S3 o u otros orígenes de AWS determinados).

**Topics**
+ [Exigencia de HTTPS para orígenes personalizados](#using-https-cloudfront-to-origin-distribution-setting)
+ [Instalación de un certificado SSL/TLS en su origen personalizado](#using-https-cloudfront-to-origin-certificate)

## Exigencia de HTTPS para orígenes personalizados
<a name="using-https-cloudfront-to-origin-distribution-setting"></a>

En el siguiente procedimiento se explica cómo configurar CloudFront para que utilice HTTPS para comunicarse con un balanceador de carga de Elastic Load Balancing, una instancia de Amazon EC2 u otro origen personalizado. Para obtener información sobre el uso de la API de CloudFront para actualizar una distribución, consulte [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html) en la *Referencia de la API de Amazon CloudFront*. <a name="using-https-cloudfront-to-custom-origin-procedure"></a>

**Para configurar CloudFront para que requiera HTTPS entre CloudFront y su origen personalizado**

1. Inicie sesión en Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel superior de la consola de CloudFront, elija el ID de la distribución que desea actualizar.

1. En la pestaña **Orígenes**, elija el origen que desee actualizar y, a continuación, elija **Editar**.

1. Actualice los siguientes valores de configuración:  
**Origin Protocol Policy**  
Cambie **Origin Protocol Policy (Política de protocolo de origen)** para los orígenes aplicables en su distribución:  
   + **HTTPS Only (Solo HTTPS)**: CloudFront solo utiliza HTTPS para comunicarse con su origen personalizado.
   + **Match Viewer (Coincidir con lector)**: CloudFront se comunica con su origen personalizado mediante HTTP o HTTPS, en función del protocolo de la solicitud del lector. Por ejemplo, si elige **Match Viewer (Coincidir con lector)** en **Origin Protocol Policy (Política de protocolo de origen)** y el lector usa HTTPS para solicitar un objeto de CloudFront, CloudFront también usa HTTPS para reenviar la solicitud al origen.

     Elija **Match Viewer (Coincidir con espectador)** solo si especifica **Redirect HTTP to HTTPS (Redireccionamiento de HTTP a HTTPS)** o **HTTPS Only (Solo HTTPS)** en **Viewer Protocol Policy (Política de protocolo del espectador)**.

     Tenga en cuenta que CloudFront almacena en caché el objeto solo una vez, incluso si los lectores realizan solicitudes a través de los protocolos HTTP y HTTPS.  
**Origin SSL Protocols**  
Elija **Origin SSL Protocols (Protocolos SSL de orige)** para los orígenes aplicables a su distribución. El protocolo SSLv3 es menos seguro, así que le recomendamos que lo seleccione únicamente si su origen no admite TLSv1 o una versión posterior. El protocolo de enlace TLSv1 es bidireccionalmente compatible con SSLv3, pero no con TLSv1.1 y posteriores. Cuando selecciona SSLv3, CloudFront *solo* envía solicitudes de protocolo de enlace SSLv3.

1. Seleccione **Save changes (Guardar cambios)**.

1. Repita los pasos 3 a 5 para cada origen adicional para el que desee solicitar HTTPS entre CloudFront y su origen personalizado.

1. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:
   + El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.
   + Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte [Patrón de ruta](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + Los comportamientos de la caché son solicitudes de redirección a los orígenes cuyo valor de **Origin Protocol Policy (Política de protocolos de origen)** ha cambiado. 

## Instalación de un certificado SSL/TLS en su origen personalizado
<a name="using-https-cloudfront-to-origin-certificate"></a>

Puede utilizar un certificado SSL/TLS de las siguientes fuentes en su origen personalizado:
+ Si su origen es un equilibrador de carga de Elastic Load Balancing, puede utilizar un certificado proporcionado por AWS Certificate Manager (ACM). También puede utilizar un certificado firmado por una entidad de certificación de terceros de confianza e importado a ACM.
+ En el caso de orígenes diferentes a balanceadores de carga de Elastic Load Balancing, debe utilizar un certificado firmado por una entidad de certificación (CA) de terceros de confianza, como Comodo, DigiCert o Symantec.

El certificado devuelto del origen debe incluir uno de los siguientes nombres de dominio:
+ El nombre de dominio en el campo del origen **Origin domain** (Dominio de origen) (el campo `DomainName` en la API de CloudFront).
+ El nombre de dominio en el encabezado `Host`, si el comportamiento de la caché está configurado para reenviar el encabezado `Host` al origen.

Cuando CloudFront utiliza HTTPS para comunicarse con su origen, CloudFront verifica que el certificado haya sido emitido por una autoridad de certificados de confianza. CloudFront admite las mismas autoridades de certificados que Mozilla. Para consultar la lista actualizada, consulte [Mozilla Included CA Certificate List](https://wiki.mozilla.org/CA/Included_Certificates). No se puede utilizar un certificado autofirmado para comunicación HTTPS entre CloudFront y su origen.

**importante**  
En caso de que el servidor de origen devuelva un certificado expirado, no válido o autofirmado, o si el servidor de origen devuelve la cadena de certificados en el orden incorrecto, CloudFront interrumpe la conexión TCP, devuelve código de estado HTTP 502 (Puerta de enlace incorrecta) y establece el encabezado `X-Cache` como `Error from cloudfront`. Igualmente, si toda la cadena de certificados, incluidos los certificados intermedios, no está presente, CloudFront interrumpe la conexión TCP.

# Exigencia de HTTPS para la comunicación entre CloudFront y su origen de Amazon S3
<a name="using-https-cloudfront-to-s3-origin"></a>

Cuando el origen es un bucket de Amazon S3, las opciones para utilizar HTTPS en las comunicaciones con CloudFront dependerán de cómo se esté utilizando el bucket. Si su bucket de Amazon S3 se configura como un punto de enlace de sitio web, no puede configurar CloudFront para usar HTTPS para comunicarse con su origen porque Amazon S3 no admite conexiones HTTPS en dicha configuración.

Cuando el origen es un bucket de Amazon S3 que permite la comunicación HTTPS, CloudFront reenvía las solicitudes a S3 con el protocolo que los lectores utilizaron para enviar las solicitudes. El valor predeterminado para la configuración [Protocolo (solo orígenes personalizados)](DownloadDistValuesOrigin.md#DownloadDistValuesOriginProtocolPolicy) es **Match Viewer (Coincidir con lector)** y no puede modificarse. Sin embargo, si habilita el control de acceso de origen (OAC) para el origen de Amazon S3, la comunicación utilizada entre CloudFront y Amazon S3 depende de la configuración. Para obtener más información, consulte [Creación de un nuevo control de acceso de origen](private-content-restricting-access-to-s3.md#create-oac-overview-s3).

Si desea solicitar HTTPS para la comunicación entre CloudFront y Amazon S3, deberá cambiar el valor de protocolo de **Viewer Protocol Policy (Política de protocolo del lector)** a **Redirect HTTP to HTTPS (Redirigir HTTP a HTTPS)** o **HTTPS Only (Solo HTTPS)**. En el procedimiento que se indica más adelante en esta sección se explica cómo usar la consola de CloudFront para cambiar **Viewer Protocol Policy (Política de protocolo del lector)**. Para obtener información sobre el uso de la API de CloudFront para actualizar el elemento `ViewerProtocolPolicy` de una distribución, consulte [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html) en la *Referencia de la API de Amazon CloudFront*. 

Si utiliza HTTPS con un bucket de Amazon S3 que admite comunicaciones HTTPS, Amazon S3 proporciona el certificado SSL/TLS para que no tenga hacerlo usted.

## Exigencia de HTTPS para un origen de Amazon S3
<a name="configure-cloudfront-HTTPS-S3-origin"></a>

El siguiente procedimiento muestra cómo configurar CloudFront para que se exija HTTPS a su origen de Amazon S3.<a name="using-https-cloudfront-to-s3-origin-procedure"></a>

**Para configurar CloudFront para que requiera HTTPS a su origen de Amazon S3**

1. Inicie sesión en Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel superior de la consola de CloudFront, elija el ID de la distribución que desea actualizar.

1. En la pestaña **Behaviors (Comportamientos)**, elija el comportamiento de la caché que desee actualizar y, a continuación, elija **Edit (Editar)**.

1. Especifique uno de los siguientes valores en **Viewer Protocol Policy (Política de protocolo del espectador)**:  
**Redireccionamiento de HTTP a HTTPS**  
Los espectadores pueden usar tanto el protocolo HTTP como el HTTPS, pero las solicitudes HTTP se redirigirán automáticamente a solicitudes HTTPS. CloudFront devuelve el código de estado HTTP 301 (Movido permanentemente) junto con la nueva URL HTTPS. A continuación, el lector vuelve a enviar la solicitud a CloudFront través de la URL HTTPS.  
CloudFront no redirige las solicitudes `DELETE`, `OPTIONS`, `PATCH`, `POST` ni `PUT` de HTTP a HTTPS. Si configura un comportamiento de la caché para que redirija a HTTPS, CloudFront responde a solicitudes HTTP `DELETE`, `OPTIONS`, `PATCH`, `POST` o `PUT` de ese comportamiento de la caché con el código de estado HTTP 403 (Prohibido).
Cuando un lector realiza una solicitud HTTP que se redirige a una solicitud HTTPS, se aplican cargos de CloudFront a ambas solicitudes. En el caso de la solicitud HTTP, el cargo es solo para la solicitud y para los encabezados que CloudFront devuelve al lector. En el caso de la solicitud HTTPS, el cargo es por la solicitud y por los encabezados y el objeto devueltos por el origen.  
**Solo HTTPS**  
Los espectadores pueden obtener acceso a su contenido solo si utilizan HTTPS. Si un lector envía una solicitud HTTP en lugar de una solicitud HTTPS, CloudFront devuelve código de estado HTTP 403 (Prohibido) y no devuelve el objeto.

1. Elija **Yes, Edit (Sí, editar)**.

1. Repita los pasos 3 a 5 para cada comportamiento de la caché adicional para el que desee solicitar HTTPS entre los lectores y CloudFront, y entre CloudFront y S3.

1. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:
   + El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.
   + Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte [Patrón de ruta](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + Los comportamientos de la caché son solicitudes de redirección hacia los orígenes correctos. 

# Protocolos y cifrados admitidos entre lectores y CloudFront
<a name="secure-connections-supported-viewer-protocols-ciphers"></a>

Cuando [necesite HTTPS entre los lectores y la distribución de CloudFront](DownloadDistValuesCacheBehavior.md#DownloadDistValuesViewerProtocolPolicy), debe elegir una [política de seguridad](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy), que determina la siguiente configuración.
+ El protocolo SSL/TLS mínimo que utiliza CloudFront para comunicarse con los lectores.
+ Los cifrados que CloudFront puede utilizar para cifrar la comunicación con los lectores.

Para elegir una política de seguridad, especifique el valor aplicable para [Política de seguridad (versión mínima de SSL/TLS)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy). En la siguiente tabla se muestran los protocolos y los cifrados que CloudFront puede utilizar para cada política de seguridad.

Un lector debe admitir al menos uno de los cifrados compatibles para establecer una conexión HTTPS con CloudFront. CloudFront elige un cifrado en el orden mostrado de entre los cifrados que admite el lector. Véase también [Nombres de cifrado OpenSSL, s2n y RFC](#secure-connections-openssl-rfc-cipher-names).


|  | Política de seguridad |  | SSLv3 | TLSv1 | TLSv1\$12016 | TLSv1.1\$12016 | TLSv1.2\$12018 | TLSv1.2\$12019 | TLSv1.2\$12021 | TLSv1.2\$12025 | TLSv1.3\$12025 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Protocolos SSL/TLS compatibles | 
| TLSv1.3 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLSv1.2 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| TLSv1.1 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| TLSv1 | ♦ | ♦ | ♦ |  |  |  |  |  |  | 
| SSLv3 | ♦ |  |  |  |  |  |  |  |  | 
| Cifrados TLSv1.3 compatibles | 
| TLS\$1AES\$1128\$1GCM\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1AES\$1256\$1GCM\$1SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1CHACHA20\$1POLY1305\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | ♦ | 
| Cifrados de ECDSA admitidos | 
| ECDHE-ECDSA-AES128-GCM-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-ECDSA-AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-ECDSA-AES128-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| ECDHE-ECDSA-AES256-GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-ECDSA-CHACHA20-POLY1305 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| ECDHE-ECDSA-AES256-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-ECDSA-AES256-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| Cifrados de RSA compatibles | 
| ECDHE-RSA-AES128-GCM-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-RSA-AES128-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| ECDHE-RSA-AES256-GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-RSA-CHACHA20-POLY1305 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-RSA-AES256-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| AES128-GCM-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  |  | 
| AES256-GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  |  | 
| AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  |  | 
| AES256-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| AES128-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| DES-CBC3-SHA | ♦ | ♦ |  |  |  |  |  |  |  | 
| RC4-MD5 | ♦ |  |  |  |  |  |  |  |  | 

## Nombres de cifrado OpenSSL, s2n y RFC
<a name="secure-connections-openssl-rfc-cipher-names"></a>

OpenSSL y [s2n](https://github.com/awslabs/s2n) usan nombres diferentes para cifrar que los estándares de TLS ([RFC 2246](https://tools.ietf.org/html/rfc2246), [RFC 4346](https://tools.ietf.org/html/rfc4346), [RFC 5246](https://tools.ietf.org/html/rfc5246), y [RFC 8446](https://tools.ietf.org/html/rfc8446)). En la siguiente tabla se mapean los nombres de OpenSSL y s2n al nombre de RFC para cada uno de los cifrados.

CloudFront admite los intercambios de claves clásicos y con seguridad cuántica. Para los intercambios de claves clásicos mediante curvas elípticas, CloudFront admite lo siguiente:
+ `prime256v1`
+ `X25519`
+ `secp384r1`

Para los intercambios de claves con seguridad cuántica, CloudFront admite lo siguiente:
+ `X25519MLKEM768`
+ `SecP256r1MLKEM768`
**nota**  
Los intercambios de claves con seguridad cuántica solo se admiten con TLS 1.3. TLS 1.2 y las versiones anteriores no admiten el intercambio de claves con seguridad cuántica.

  Para obtener más información, consulte los temas siguientes:
  + [Criptografía poscuántica](https://aws.amazon.com/security/post-quantum-cryptography/)
  + [Algoritmos de criptografía y Servicios de AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/aws-cryptography-services.html#algorithms)
  + [Intercambio de claves híbridas en TLS 1.3](https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/)

Para obtener más información acerca de los requisitos del certificado de CloudFront, consulte [Requisitos para la utilización de certificados SSL/TLS con CloudFront](cnames-and-https-requirements.md).


| Nombre del cifrado OpenSSL y s2n | Nombre del cifrado RFC | 
| --- | --- | 
| Cifrados TLSv1.3 compatibles | 
| TLS\$1AES\$1128\$1GCM\$1SHA256 | TLS\$1AES\$1128\$1GCM\$1SHA256 | 
| TLS\$1AES\$1256\$1GCM\$1SHA384 | TLS\$1AES\$1256\$1GCM\$1SHA384 | 
| TLS\$1CHACHA20\$1POLY1305\$1SHA256 | TLS\$1CHACHA20\$1POLY1305\$1SHA256 | 
| Cifrados de ECDSA admitidos | 
| ECDHE-ECDSA-AES128-GCM-SHA256 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1GCM\$1SHA256 | 
| ECDHE-ECDSA-AES128-SHA256 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA256 | 
| ECDHE-ECDSA-AES128-SHA | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| ECDHE-ECDSA-AES256-GCM-SHA384 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1SHA384 | 
| ECDHE-ECDSA-CHACHA20-POLY1305 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1CHACHA20\$1POLY1305\$1SHA256 | 
| ECDHE-ECDSA-AES256-SHA384 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA384 | 
| ECDHE-ECDSA-AES256-SHA | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| Cifrados de RSA compatibles | 
| ECDHE-RSA-AES128-GCM-SHA256 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1SHA256 | 
| ECDHE-RSA-AES128-SHA256 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA256  | 
| ECDHE-RSA-AES128-SHA | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| ECDHE-RSA-AES256-GCM-SHA384 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1SHA384  | 
| ECDHE-RSA-CHACHA20-POLY1305 | TLS\$1ECDHE\$1RSA\$1WITH\$1CHACHA20\$1POLY1305\$1SHA256 | 
| ECDHE-RSA-AES256-SHA384 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA384  | 
| ECDHE-RSA-AES256-SHA | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| AES128-GCM-SHA256 | TLS\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1SHA256 | 
| AES256-GCM-SHA384 | TLS\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1SHA384 | 
| AES128-SHA256 | TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA256 | 
| AES256-SHA | TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| AES128-SHA | TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| DES-CBC3-SHA  | TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA  | 
| RC4-MD5 | TLS\$1RSA\$1WITH\$1RC4\$1128\$1MD5 | 

## Esquemas de firma admitidos entre los lectores y CloudFront
<a name="secure-connections-viewer-signature-schemes"></a>

CloudFront admite los siguientes esquemas de firma para conexiones entre lectores y CloudFront.


|  | Política de seguridad | Esquemas de firma | SSLv3 | TLSv1 | TLSv1\$12016 | TLSv1.1\$12016 | TLSv1.2\$12018 | TLSv1.2\$12019 |  TLSv1.2\$12021 | TLSv1.2\$12025 | TLSv1.3\$12025 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1PSS\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1PSS\$1SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1PSS\$1SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1RSAE\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1RSAE\$1SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1RSAE\$1SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA224 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA224 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SECP256R1\$1SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SECP384R1\$1SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA1 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA1 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 

# Protocolos y cifrados admitidos entre CloudFront y el origen
<a name="secure-connections-supported-ciphers-cloudfront-to-origin"></a>

Si elige [exigir HTTPS entre CloudFront y su origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesOriginProtocolPolicy), puede decidir [el protocolo SSL/TLS que desea permitir](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesOriginSSLProtocols) para la conexión segura y CloudFront puede conectarse al origen utilizando cualquiera de los cifrados ECDSA o RSA listados en la siguiente tabla. El origen debe admitir al menos uno de estos códigos cifrados de CloudFront para establecer una conexión HTTPS a su origen.

OpenSSL y [s2n](https://github.com/awslabs/s2n) usan nombres diferentes para cifrar que los estándares de TLS ([RFC 2246](https://tools.ietf.org/html/rfc2246), [RFC 4346](https://tools.ietf.org/html/rfc4346), [RFC 5246](https://tools.ietf.org/html/rfc5246), y [RFC 8446](https://tools.ietf.org/html/rfc8446)). En la siguiente tabla se incluyen los nombres de OpenSSL y s2n y el nombre de RFC para cada uno de los cifrados.

Para los cifrados con algoritmos de intercambio de claves con curvas elípticas, CloudFront admite las siguientes curvas elípticas:
+ prime256v1
+ secp384r1
+ X25519


| Nombre del cifrado OpenSSL y s2n | Nombre del cifrado RFC | 
| --- | --- | 
| Cifrados de ECDSA admitidos | 
| ECDHE-ECDSA-AES256-GCM-SHA384 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1SHA384 | 
| ECDHE-ECDSA-AES256-SHA384 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA384 | 
| ECDHE-ECDSA-AES256-SHA | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| ECDHE-ECDSA-AES128-GCM-SHA256 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1GCM\$1SHA256 | 
| ECDHE-ECDSA-AES128-SHA256 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA256 | 
| ECDHE-ECDSA-AES128-SHA | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| Cifrados de RSA compatibles | 
| ECDHE-RSA-AES256-GCM-SHA384 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1SHA384 | 
| ECDHE-RSA-AES256-SHA384 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA384 | 
| ECDHE-RSA-AES256-SHA | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| ECDHE-RSA-AES128-GCM-SHA256 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1SHA256 | 
| ECDHE-RSA-AES128-SHA256 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA256 | 
| ECDHE-RSA-AES128-SHA | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| AES256-SHA | TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| AES128-SHA | TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| DES-CBC3-SHA | TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA | 
| RC4-MD5 | TLS\$1RSA\$1WITH\$1RC4\$1128\$1MD5 | 

**Esquemas de firma admitidos entre CloudFront y el origen**

CloudFront admite los siguientes esquemas de firma para las conexiones entre CloudFront y el origen.
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA256
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA384
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA512
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA224
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA256
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA384
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA512
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA224
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PKCS1\$1SHA1
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1SHA1