

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Usa HTTPS con CloudFront
<a name="using-https"></a>

Puoi configurare CloudFront in modo che gli spettatori utilizzino HTTPS in modo che le connessioni siano crittografate quando CloudFront comunicano con gli spettatori. Puoi anche configurare l'utilizzo CloudFront di HTTPS con la tua origine in modo che le connessioni siano crittografate quando CloudFront comunica con la tua origine.

Se configuri CloudFront in modo da richiedere HTTPS sia per comunicare con gli spettatori sia per comunicare con l'origine, ecco cosa succede quando si CloudFront riceve una richiesta:

1. Un visualizzatore invia una richiesta HTTPS a. CloudFront C'è qualche SSL/TLS negoziazione qui tra lo spettatore e. CloudFront Alla fine, il visualizzatore invia la richiesta in formato crittografato.

1. Se la CloudFront edge location contiene una risposta memorizzata nella cache, CloudFront crittografa la risposta e la restituisce al visualizzatore, che la decrittografa.

1. Se l' CloudFront edge location non contiene una risposta memorizzata nella cache, CloudFront esegue la negoziazione SSL/TLS con l'origine e, una volta completata la negoziazione, inoltra la richiesta all'origine in un formato crittografato.

1. L'origine decrittografa la richiesta, la elabora (genera una risposta), crittografa la risposta e restituisce la risposta a. CloudFront

1. CloudFront decrittografa la risposta, la cripta nuovamente e la inoltra al visualizzatore. CloudFrontmemorizza inoltre nella cache la risposta nell'edge location in modo che sia disponibile la prossima volta che viene richiesta.

1. Il visualizzatore decripta la risposta.

Il processo funziona fondamentalmente allo stesso modo indipendentemente dal fatto che l'origine sia un bucket Amazon S3 o un'origine personalizzata come un server HTTP/S. MediaStore

**Nota**  
Per contribuire a contrastare gli attacchi di tipo SSL, non supporta la rinegoziazione per le richieste di visualizzazione e origine. CloudFront 

In alternativa, puoi attivare l'autenticazione reciproca per la tua distribuzione. CloudFront Per ulteriori informazioni, consulta [Autenticazione TLS reciproca con CloudFront (Viewer mTLS)Origin Mutual TLS con CloudFront](mtls-authentication.md).

Per informazioni su come richiedere l'HTTPS tra i visualizzatori e tra i CloudFront destinatari CloudFront e tra i destinatari, consulta i seguenti argomenti.

**Topics**
+ [Richiedi HTTPS tra i visualizzatori e CloudFront](using-https-viewers-to-cloudfront.md)
+ [Richiesta di HTTPS a un’origine personalizzata](using-https-cloudfront-to-custom-origin.md)
+ [Richiesta di HTTPS a un’origine Amazon S3](using-https-cloudfront-to-s3-origin.md)
+ [Protocolli e cifrari supportati tra visualizzatori e CloudFront](secure-connections-supported-viewer-protocols-ciphers.md)
+ [Protocolli e cifrari supportati tra e l'origine CloudFront](secure-connections-supported-ciphers-cloudfront-to-origin.md)

# Richiedi HTTPS per la comunicazione tra gli spettatori e CloudFront
<a name="using-https-viewers-to-cloudfront"></a>

Puoi configurare uno o più comportamenti della cache nella tua CloudFront distribuzione per richiedere HTTPS per la comunicazione tra i visualizzatori e. CloudFront Puoi anche configurare uno o più comportamenti della cache per consentire sia HTTP che HTTPS, in modo che sia CloudFront necessario HTTPS per alcuni oggetti ma non per altri. I passaggi di configurazione dipendono dal nome di dominio che stai utilizzando nell'oggetto URLs:
+ Se utilizzi il nome di dominio CloudFront assegnato alla tua distribuzione, ad esempio d111111abcdef8.cloudfront.net, modifichi l'impostazione della **Viewer Protocol Policy per uno o più comportamenti della cache in modo da richiedere** la comunicazione HTTPS. In CloudFront tale configurazione, fornisce il certificato. SSL/TLS 

  Per modificare il valore di **Viewer Protocol Policy** utilizzando la CloudFront console, consulta la procedura riportata più avanti in questa sezione.

  Per informazioni su come utilizzare l' CloudFront API per modificare il valore dell'`ViewerProtocolPolicy`elemento, consulta [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)*Amazon CloudFront API Reference*.
+ Se utilizzi il tuo nome di dominio, ad esempio example.com, devi modificare diverse impostazioni CloudFront. È inoltre necessario utilizzare un SSL/TLS certificato fornito da AWS Certificate Manager (ACM) o importare un certificato da un'autorità di certificazione di terze parti in ACM o nell'archivio certificati IAM. Per ulteriori informazioni, consulta [Utilizzo di nomi di dominio alternativi e HTTPS](using-https-alternate-domain-names.md).

**Nota**  
Se vuoi assicurarti che gli oggetti da cui gli utenti ottengono i dati siano CloudFront crittografati quando li CloudFront hai ottenuti dall'origine, utilizza sempre il protocollo HTTPS tra l'origine CloudFront e l'origine. Se di recente sei passato da HTTP a HTTPS tra CloudFront e l'origine, ti consigliamo di invalidare gli oggetti nelle CloudFront edge location. CloudFront restituirà un oggetto a un visualizzatore indipendentemente dal fatto che il protocollo utilizzato dal visualizzatore (HTTP o HTTPS) corrisponda al protocollo CloudFront utilizzato per ottenere l'oggetto. Per ulteriori informazioni su come rimuovere o sostituire gli oggetti in una distribuzione, vedi [Aggiungere, rimuovere o sostituire i contenuti che vengono CloudFront distribuiti](AddRemoveReplaceObjects.md).

## Richiesta di HTTPS per visualizzatori
<a name="configure-cloudfront-HTTPS-viewers"></a>

Per richiedere HTTPS tra i visualizzatori e CloudFront per uno o più comportamenti della cache, effettuate la procedura seguente.<a name="using-https-viewers-to-cloudfront-procedure"></a>

**Per configurare la richiesta CloudFront di HTTPS tra i visualizzatori e CloudFront**

1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Nel riquadro superiore della CloudFront console, scegli l'ID della distribuzione che desideri aggiornare.

1. Nella scheda **Comportamenti**, seleziona il comportamento cache che desideri aggiornare, quindi seleziona **Modifica**.

1. Specifica uno dei valori seguenti per **Policy protocollo visualizzatore**:  
**Reindirizza HTTP a HTTPS**  
I visualizzatori possono utilizzare entrambi i protocolli. HTTP `GET` e `HEAD` le richieste vengono reindirizzate automaticamente alle richieste HTTPS. CloudFront restituisce il codice di stato HTTP 301 (spostato permanentemente) insieme al nuovo URL HTTPS. Il visualizzatore invia quindi nuovamente la richiesta CloudFront utilizzando l'URL HTTPS.  
Se invii`POST`,, `PUT` `DELETE``OPTIONS`, o `PATCH` tramite HTTP con un comportamento di cache da HTTP a HTTPS e una versione del protocollo di richiesta HTTP 1.1 o successiva, CloudFront reindirizza la richiesta a una posizione HTTPS con un codice di stato HTTP 307 (reindirizzamento temporaneo). Questo garantisce che la richiesta venga inviata di nuovo alla nuova posizione utilizzando lo stesso metodo e payload del corpo.  
Se invii`POST`,, `PUT` `DELETE``OPTIONS`, o `PATCH` richieste tramite il comportamento della cache da HTTP a HTTPS con una versione del protocollo di richiesta inferiore a HTTP 1.1, CloudFront restituisce un codice di stato HTTP 403 (Proibito).
Quando un visualizzatore invia una richiesta HTTP che viene reindirizzata a una richiesta HTTPS, CloudFront addebita entrambe le richieste. Per la richiesta HTTP, l'addebito riguarda solo la richiesta e le intestazioni che vengono CloudFront restituite al visualizzatore. Per la richiesta HTTPS, l'addebito è per la richiesta, per le intestazioni e per l'oggetto che vengono restituiti dal server di origine.  
**Solo HTTPS**  
I visualizzatori possono accedere ai contenuti solo se utilizzano connessioni HTTPS. Se un visualizzatore invia una richiesta HTTP anziché una richiesta HTTPS, CloudFront restituisce il codice di stato HTTP 403 (Forbidden) e non restituisce l'oggetto.

1. Scegli **Save changes** (Salva modifiche).

1. Ripeti i passaggi da 3 a 5 per ogni comportamento aggiuntivo nella cache per cui desideri richiedere HTTPS tra i visualizzatori e. CloudFront

1. Conferma ciò che segue prima di utilizzare la configurazione aggiornata in un ambiente di produzione:
   + Il modello di percorso in ciascun comportamento cache si applica solo alle richieste per le quali desideri che i visualizzatori utilizzino una connessione HTTPS.
   + I comportamenti della cache sono elencati nell'ordine in cui desideri CloudFront valutarli. Per ulteriori informazioni, consulta [Modello di percorso](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + I comportamenti cache sono richieste di routing ai server di origine corretti. 

# Richiedi HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata
<a name="using-https-cloudfront-to-custom-origin"></a>

Puoi richiedere HTTPS per la comunicazione tra CloudFront e la tua origine.

**Nota**  
Se la tua origine è un bucket Amazon S3 configurato come endpoint del sito Web, non puoi configurare l'utilizzo di HTTPS con la tua origine perché Amazon S3 non supporta HTTPS CloudFront per gli endpoint dei siti Web.

Per richiedere HTTPS tra CloudFront e l'origine, segui le procedure in questo argomento per effettuare le seguenti operazioni:

1. Nella distribuzione, modifica l'impostazione **Policy protocollo di origine** per l’origine.

1. Installa un SSL/TLS certificato sul tuo server di origine (non è necessario quando utilizzi un'origine Amazon S3 o determinate altre AWS origini).

**Topics**
+ [Richiesta di HTTPS per origini personalizzate](#using-https-cloudfront-to-origin-distribution-setting)
+ [Installa un SSL/TLS certificato sulla tua origine personalizzata](#using-https-cloudfront-to-origin-certificate)

## Richiesta di HTTPS per origini personalizzate
<a name="using-https-cloudfront-to-origin-distribution-setting"></a>

La procedura seguente spiega come configurare l'uso di HTTPS CloudFront per comunicare con un sistema di bilanciamento del carico Elastic Load Balancing, un'istanza Amazon EC2 o un'altra origine personalizzata. Per informazioni sull'utilizzo dell' CloudFront API per aggiornare una distribuzione, [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)consulta *Amazon CloudFront API Reference*. <a name="using-https-cloudfront-to-custom-origin-procedure"></a>

**Per configurare CloudFront in modo che richieda HTTPS tra CloudFront e la tua origine personalizzata**

1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Nel riquadro superiore della CloudFront console, scegli l'ID della distribuzione che desideri aggiornare.

1. Nella scheda **Comportamenti**, seleziona l’origine che desideri aggiornare, quindi scegli **Modifica**.

1. Aggiorna le seguenti impostazioni:  
**Origin Protocol Policy (Policy protocollo origine)**  
Cambia la **Origin Protocol Policy (Policy protocollo server di origine)** per i server di origine applicabili alla distribuzione:  
   + **Solo HTTPS**: CloudFront utilizza solo HTTPS per comunicare con la tua origine personalizzata.
   + **Match Viewer**: CloudFront comunica con l'origine personalizzata tramite HTTP o HTTPS, a seconda del protocollo della richiesta del visualizzatore. Ad esempio, se scegli **Match Viewer** per **Origin Protocol Policy** e il visualizzatore utilizza HTTPS per richiedere un oggetto CloudFront, utilizza CloudFront anche HTTPS per inoltrare la richiesta all'origine.

     Seleziona **Match Viewer (Abbina visualizzatore)** solo se specifichi **Redirect HTTP to HTTPS (Reindirizza HTTP a HTTPS)** o **HTTPS Only (solo HTTPS)** per la **Viewer Protocol Policy (Policy protocollo visualizzatore)**.

     CloudFront memorizza l'oggetto nella cache una sola volta anche se i visualizzatori effettuano richieste utilizzando entrambi i protocolli HTTP e HTTPS.  
**Protocolli origine SSL**  
Seleziona **Origin SSL Protocols (Protocolli origine SSL)** per i server di origine applicabili alla tua distribuzione. Il SSLv3 protocollo è meno sicuro, quindi ti consigliamo di scegliere SSLv3 solo se la tua origine non supporta TLSv1 o versioni successive. L' TLSv1 handshake è compatibile sia con le versioni precedenti che successive SSLv3, ma TLSv1 .1 e versioni successive no. Se lo desideri SSLv3, invia CloudFront *solo* richieste di handshake. SSLv3 

1. Scegli **Save changes** (Salva modifiche).

1. Ripeti i passaggi da 3 a 5 per ogni origine aggiuntiva per cui desideri richiedere HTTPS tra CloudFront e l'origine personalizzata.

1. Conferma ciò che segue prima di utilizzare la configurazione aggiornata in un ambiente di produzione:
   + Il modello di percorso in ciascun comportamento cache si applica solo alle richieste per le quali desideri che i visualizzatori utilizzino una connessione HTTPS.
   + I comportamenti della cache sono elencati nell'ordine in cui CloudFront desideri valutarli. Per ulteriori informazioni, consulta [Modello di percorso](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + I comportamenti cache sono le richieste di routing ai server di origine per cui hai modificato la **Origin Protocol Policy (Policy protocollo server di origine)**. 

## Installa un SSL/TLS certificato sulla tua origine personalizzata
<a name="using-https-cloudfront-to-origin-certificate"></a>

Puoi utilizzare un SSL/TLS certificato proveniente dalle seguenti fonti sulla tua origine personalizzata:
+ Se l'origine è un sistema di bilanciamento del carico (load balancer) Elastic Load Balancing, è possibile utilizzare un certificato fornito da AWS Certificate Manager (ACM). Puoi inoltre utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile e importato in ACM.
+ Per origini diverse dai sistemi di bilanciamento del carico Elastic Load Balancing, è necessario utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti affidabile, ad esempio Comodo o Symantec. DigiCert

Il certificato restituito dall'origine deve includere uno dei seguenti nomi di dominio:
+ Il nome di dominio nel campo **Dominio di origine** (il `DomainName` campo dell'API). CloudFront 
+ Il nome di dominio nell’intestazione `Host`, se il comportamento della cache è configurato per inoltrare l’intestazione `Host` all'origine.

Quando CloudFront utilizza HTTPS per comunicare con l'origine, CloudFront verifica che il certificato sia stato emesso da un'autorità di certificazione attendibile. CloudFront supporta le stesse autorità di certificazione di Mozilla. Per l'elenco corrente, consulta l'[elenco dei certificati CA inclusi in Mozilla](https://wiki.mozilla.org/CA/Included_Certificates). Non è possibile utilizzare un certificato autofirmato per la comunicazione HTTPS tra CloudFront e l'origine.

**Importante**  
Se il server di origine restituisce un certificato scaduto, un certificato non valido o un certificato autofirmato oppure se restituisce la catena di certificati nell'ordine sbagliato, CloudFront interrompe la connessione TCP, restituisce il codice di stato HTTP 502 (Bad Gateway) al visualizzatore e imposta l'intestazione su. `X-Cache` `Error from cloudfront` Inoltre, se l'intera catena di certificati, incluso il certificato intermedio, non è presente, la connessione TCP viene interrotta. CloudFront 

# Richiedi HTTPS per la comunicazione tra CloudFront e la tua origine Amazon S3
<a name="using-https-cloudfront-to-s3-origin"></a>

Se la tua origine è un bucket Amazon S3, le opzioni di utilizzo di HTTPS per le comunicazioni CloudFront dipendono da come utilizzi il bucket. Se il tuo bucket Amazon S3 è configurato come endpoint di un sito Web, non puoi configurare l'utilizzo di HTTPS CloudFront per comunicare con la tua origine perché Amazon S3 non supporta le connessioni HTTPS in quella configurazione.

Se la tua origine è un bucket Amazon S3 che supporta la comunicazione HTTPS, CloudFront inoltra le richieste a S3 utilizzando il protocollo utilizzato dai visualizzatori per inviare le richieste. L'impostazione predefinita per [Protocollo (solo origini personalizzate)](DownloadDistValuesOrigin.md#DownloadDistValuesOriginProtocolPolicy) è **Match Viewer (Visualizzatore abbinamento)** e non può essere modificata. Tuttavia, se abiliti il controllo dell'accesso all'origine (OAC) per la tua origine Amazon S3, la comunicazione utilizzata CloudFront tra Amazon S3 e Amazon S3 dipende dalle tue impostazioni. Per ulteriori informazioni, consulta [Creazione di un nuovo controllo di accesso origine](private-content-restricting-access-to-s3.md#create-oac-overview-s3).

**Se desideri richiedere HTTPS per la comunicazione tra Amazon S3 CloudFront e Amazon, devi modificare il valore di **Viewer Protocol Policy** per **reindirizzare HTTP su HTTPS o solo HTTPS**.** La procedura riportata più avanti in questa sezione spiega come utilizzare la CloudFront console per modificare la **Viewer Protocol Policy**. Per informazioni sull'utilizzo dell' CloudFront API per aggiornare l'`ViewerProtocolPolicy`elemento per una distribuzione, [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)consulta *Amazon CloudFront API Reference*. 

Quando usi HTTPS con un bucket Amazon S3 che supporta la comunicazione HTTPS, Amazon S3 fornisce il SSL/TLS certificato, quindi non devi farlo tu.

## Richiesta di HTTPS per un’origine Amazon S3
<a name="configure-cloudfront-HTTPS-S3-origin"></a>

La procedura seguente mostra come configurare la richiesta CloudFront di HTTPS alla tua origine Amazon S3.<a name="using-https-cloudfront-to-s3-origin-procedure"></a>

**CloudFront Per configurare la richiesta di HTTPS alla tua origine Amazon S3**

1. Accedi a Console di gestione AWS e apri la CloudFront console all'indirizzo[https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Nel riquadro superiore della CloudFront console, scegli l'ID della distribuzione che desideri aggiornare.

1. Nella scheda **Behaviors (Comportamenti)**, seleziona il comportamento cache che desideri aggiornare, quindi seleziona **Edit (Modifica)**.

1. Specifica uno dei valori seguenti per **Viewer Protocol Policy (Policy protocollo visualizzatore)**:  
**Reindirizza HTTP a HTTPS**  
Gli spettatori possono utilizzare entrambi i protocolli, ma le richieste HTTP vengono reindirizzate automaticamente alle richieste HTTPS. CloudFront restituisce il codice di stato HTTP 301 (Spostato permanentemente) insieme al nuovo URL HTTPS. Il visualizzatore invia quindi nuovamente la richiesta CloudFront utilizzando l'URL HTTPS.  
CloudFront non reindirizza`DELETE`, `OPTIONS` `PATCH``POST`, o `PUT` le richieste da HTTP a HTTPS. Se configuri un comportamento della cache per il reindirizzamento a HTTPS, CloudFront risponde a HTTP,`DELETE`, `OPTIONS` `PATCH``POST`, o alle `PUT` richieste relative a tale comportamento nella cache con il codice di stato HTTP 403 (Proibito).
Quando un visualizzatore invia una richiesta HTTP che viene reindirizzata a una richiesta HTTPS, CloudFront addebita entrambe le richieste. Per la richiesta HTTP, l'addebito riguarda solo la richiesta e le intestazioni che vengono CloudFront restituite al visualizzatore. Per la richiesta HTTPS, l'addebito è per la richiesta, per le intestazioni e per l'oggetto restituiti dal server di origine.  
**Solo HTTPS**  
I visualizzatori possono accedere ai contenuti solo se utilizzano connessioni HTTPS. Se un visualizzatore invia una richiesta HTTP anziché una richiesta HTTPS, CloudFront restituisce il codice di stato HTTP 403 (Forbidden) e non restituisce l'oggetto.

1. Seleziona **Yes, Edit (Sì, modifica)**.

1. Ripeti i passaggi da 3 a 5 per ogni comportamento aggiuntivo nella cache per cui desideri richiedere HTTPS tra i visualizzatori e CloudFront tra CloudFront e S3.

1. Conferma ciò che segue prima di utilizzare la configurazione aggiornata in un ambiente di produzione:
   + Il modello di percorso in ciascun comportamento cache si applica solo alle richieste per le quali desideri che i visualizzatori utilizzino una connessione HTTPS.
   + I comportamenti della cache sono elencati nell'ordine in cui desideri CloudFront valutarli. Per ulteriori informazioni, consulta [Modello di percorso](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + I comportamenti cache sono richieste di routing ai server di origine corretti. 

# Protocolli e cifrari supportati tra visualizzatori e CloudFront
<a name="secure-connections-supported-viewer-protocols-ciphers"></a>

Quando [richiedi l'HTTPS tra i visualizzatori e la tua CloudFront distribuzione](DownloadDistValuesCacheBehavior.md#DownloadDistValuesViewerProtocolPolicy), devi scegliere una [politica di sicurezza](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) che determini le seguenti impostazioni:
+ Il SSL/TLS protocollo minimo CloudFront utilizzato per comunicare con gli spettatori.
+ I codici che è CloudFront possibile utilizzare per crittografare la comunicazione con gli spettatori.

Per scegliere una policy di sicurezza, specifica il valore applicabile per [Politica di sicurezza ( SSL/TLS versione minima)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy). La tabella seguente elenca i protocolli e i codici che è CloudFront possibile utilizzare per ogni politica di sicurezza.

Un visualizzatore deve supportare almeno uno dei codici supportati con cui stabilire una connessione HTTPS. CloudFront CloudFront sceglie un codice nell'ordine elencato tra i codici supportati dal visualizzatore. Consulta anche [Nomi di cifratura OpenSSL, s2n e RFC](#secure-connections-openssl-rfc-cipher-names).


|  | Policy di sicurezza |  | SSLv3 | TLSv1 | TLSv1\$12016 | TLSv1.1\$12016 | TLSv1.2\$12018 | TLSv1.2\$12019 | TLSv1.2\$12021 | TLSv1.2\$12025 | TLSv1.3\$12025 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Protocolli supportati SSL/TLS  | 
| TLSv13. | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLSv12. | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| TLSv11. | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| TLSv1 | ♦ | ♦ | ♦ |  |  |  |  |  |  | 
| SSLv3 | ♦ |  |  |  |  |  |  |  |  | 
|  TLSv1Cifre 3.0 supportate | 
| TLS\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1 \$1 CHACHA20 POLY1305 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | ♦ | 
| Crittografie ECDSA supportate | 
| ECDHE-ECDSA- -GCM- AES128 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-ECSA- - AES128 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-ECDSA- -SHA AES128 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| ECDHE-ECDSA- -GCM- AES256 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-ECSA- - CHACHA20 POLY1305 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| ECDHE-ECDSA- - AES256 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-ECDSA- -SHA AES256 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| Crittografie RSA supportate | 
| ECDH-RSA- -GCM- AES128 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-RSA AES128 - - SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-RSA- AES128 -SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| ECDHE-RSA- AES256 -GCM- SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  | 
| ECDHE-RSA CHACHA20 - - POLY1305 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| ECDHE-RSA- - AES256 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  | 
| ECDHE-RSA- AES256 -SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| AES128-GCM- SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  |  | 
| AES256-GCM- SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  |  | 
| AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |  |  |  |  | 
| AES256-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| AES128-SHA | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| DES- -SHA CBC3 | ♦ | ♦ |  |  |  |  |  |  |  | 
| RC4-MD5 | ♦ |  |  |  |  |  |  |  |  | 

## Nomi di cifratura OpenSSL, s2n e RFC
<a name="secure-connections-openssl-rfc-cipher-names"></a>

OpenSSL e [s2n](https://github.com/awslabs/s2n) utilizzano nomi diversi per i cifrari rispetto agli standard TLS ([RFC 2246](https://tools.ietf.org/html/rfc2246), [RFC 4346](https://tools.ietf.org/html/rfc4346), [RFC 5246](https://tools.ietf.org/html/rfc5246) e [RFC 8446](https://tools.ietf.org/html/rfc8446)). La tabella seguente mappa i nomi OpenSSL e s2n al nome RFC per ogni crittografia.

CloudFront supporta scambi di chiavi classici e sicuri da un punto di vista quantistico. Per gli scambi di chiavi classici che utilizzano curve ellittiche, supporta quanto segue: CloudFront 
+ `prime256v1`
+ `X25519`
+ `secp384r1`

Per gli scambi di chiavi sicuri da un punto di vista quantistico, supporta quanto segue: CloudFront 
+ `X25519MLKEM768`
+ `SecP256r1MLKEM768`
**Nota**  
Gli scambi di chiavi Quantum-safe sono supportati solo con TLS 1.3. TLS 1.2 e le versioni precedenti non supportano lo scambio di chiavi a sicurezza quantistica.

  Per ulteriori informazioni, consulta i seguenti argomenti:
  + [Crittografia post-quantistica](https://aws.amazon.com/security/post-quantum-cryptography/)
  + [Algoritmi di crittografia e Servizi AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/aws-cryptography-services.html#algorithms)
  + [Scambio di chiavi ibrido in TLS 1.3](https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/)

Per ulteriori informazioni sui requisiti dei certificati per CloudFront, vedere. [Requisiti per l'utilizzo SSL/TLS di certificati con CloudFront](cnames-and-https-requirements.md)


| Nome cifrato OpenSSL e s2n | Nome crittografia RFC | 
| --- | --- | 
|  TLSv1Cifre 3.0 supportate | 
| TLS\$1AES\$1128\$1GCM\$1 SHA256 | TLS\$1AES\$1128\$1GCM\$1 SHA256 | 
| TLS\$1AES\$1256\$1GCM\$1 SHA384 | TLS\$1AES\$1256\$1GCM\$1 SHA384 | 
| TLS\$1 \$1 CHACHA20 POLY1305 SHA256 | CHACHA20TLS\$1 \$1 POLY1305 SHA256 | 
| Crittografie ECDSA supportate | 
| ECDHE-ECDSA- -GCM- AES128 SHA256 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | 
| ECDHE-ECDSA- - AES128 SHA256 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | 
| ECDHE-ECDSA- -SHA AES128 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| ECDHE-ECDSA- -GCM- AES256 SHA384 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | 
| ECDHE-ECDSA- - CHACHA20 POLY1305 | CHACHA20TLS\$1ECDHE\$1ECDSA\$1CON\$1 \$1 \$1 POLY1305 SHA256 | 
| ECDHE-ECDSA- - AES256 SHA384 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | 
| ECDHE-ECDSA- -SHA AES256 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| Crittografie RSA supportate | 
| ECDH-RSA- -GCM- AES128 SHA256 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | 
| ECDHE-RSA- - AES128 SHA256 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256  | 
| ECDHE-RSA- -SHA AES128 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| ECDHE-RSA- AES256 -GCM- SHA384 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384  | 
| ECDHE-RSA- - CHACHA20 POLY1305 | TLS\$1ECDHE\$1RSA\$1CON\$1 \$1 CHACHA20 \$1 POLY1305 SHA256 | 
| ECDHE-RSA- - AES256 SHA384 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384  | 
| ECDHE-RSA- -SHA AES256 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| AES128-GCM- SHA256 | TLS\$1RSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | 
| AES256-GCM- SHA384 | TLS\$1RSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | 
| AES128-SHA256 | TLS\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | 
| AES256-SHA | TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| AES128-SHA | TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| DES- -SHA CBC3  | TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA  | 
| RC4-MD5 | TLS\$1RSA\$1CON\$1 \$1128\$1 RC4 MD5 | 

## Schemi di firma supportati tra spettatori e CloudFront
<a name="secure-connections-viewer-signature-schemes"></a>

CloudFront supporta i seguenti schemi di firma per le connessioni tra spettatori e. CloudFront


|  | Policy di sicurezza | Schemi di firma | SSLv3 | TLSv1 | TLSv1\$12016 | TLSv1.1\$12016 | TLSv1.2\$12018 | TLSv1.2\$12019 |  TLSv1.2\$12021 | TLSv1.2\$12025 | TLSv1.3\$12025 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1PSS\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1PSS\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1PSS\$1 SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1RSAE\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1RSAE\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1PSS\$1RSAE\$1 SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 PKCS1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA224 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA224 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |  |  | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 R1\$1 SECP256 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SECP384 R1\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | 
| PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA1 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 
| TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA1 | ♦ | ♦ | ♦ | ♦ |  |  |  |  |  | 

# Protocolli e cifrari supportati tra e l'origine CloudFront
<a name="secure-connections-supported-ciphers-cloudfront-to-origin"></a>

Se scegli di [richiedere HTTPS tra CloudFront e la tua origine](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesOriginProtocolPolicy), puoi decidere [quale SSL/TLS protocollo consentire](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesOriginSSLProtocols) la connessione sicura e CloudFront puoi connetterti all'origine utilizzando uno dei codici ECDSA o RSA elencati nella tabella seguente. L'origine deve supportare almeno uno di questi codici per stabilire una connessione HTTPS CloudFront all'origine.

OpenSSL e [s2n](https://github.com/awslabs/s2n) utilizzano nomi diversi per i cifrari rispetto agli standard TLS ([RFC 2246](https://tools.ietf.org/html/rfc2246), [RFC 4346](https://tools.ietf.org/html/rfc4346), [RFC 5246](https://tools.ietf.org/html/rfc5246) e [RFC 8446](https://tools.ietf.org/html/rfc8446)). La tabella seguente mappa i nomi OpenSSL e s2n e il nome RFC per ogni cifrario.

Per i cifrari con algoritmi di scambio di chiavi a curva ellittica, supporta le seguenti curve ellittiche: CloudFront 
+ prime256v1
+ secp384r1
+ X25519


| Nome cifrato OpenSSL e s2n | Nome crittografia RFC | 
| --- | --- | 
| Crittografie ECDSA supportate | 
| AES256ECDHE-ECDSA- -GCM- SHA384 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | 
| ECDHE-ECDSA- - AES256 SHA384 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | 
| ECDHE-ECDSA- -SHA AES256 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| ECDHE-ECDSA- -GCM- AES128 SHA256 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | 
| ECDHE-ECDSA- - AES128 SHA256 | TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | 
| ECDHE-ECDSA- -SHA AES128 | TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| Crittografie RSA supportate | 
| ECDH-RSA- -GCM- AES256 SHA384 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | 
| ECDHE-RSA- - AES256 SHA384 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | 
| ECDHE-RSA- -SHA AES256 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| ECDHE-RSA- AES128 -GCM- SHA256 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | 
| ECDHE-RSA- - AES128 SHA256 | TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | 
| ECDHE-RSA- -SHA AES128 | TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| AES256-SHA | TLS\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1SHA | 
| AES128-SHA | TLS\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1SHA | 
| DES- -SHA CBC3 | TLS\$1RSA\$1WITH\$13DES\$1EDE\$1CBC\$1SHA | 
| RC4-MD5 | TLS\$1RSA\$1CON\$1 \$1128\$1 RC4 MD5 | 

**Schemi di firma supportati tra e l'origine CloudFront **

CloudFront supporta i seguenti schemi di firma per le connessioni tra CloudFront e l'origine.
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 PKCS1 SHA256
+ PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA384
+ PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA512
+ PKCS1TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 SHA224
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA256
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA384
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA512
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA224
+ TLS\$1SIGNATURE\$1SCHEME\$1RSA\$1 \$1 PKCS1 SHA1
+ TLS\$1SIGNATURE\$1SCHEME\$1ECDSA\$1 SHA1