Usar URLs personalizados adicionando nomes de domínio alternativos (CNAMEs)

Todos os nomes de domínio alternativos (CNAMEs) devem estar em letras minúsculas.

Para adicionar um nome de domínio alternativo (CNAME) a uma distribuição do CloudFront, é necessário anexar à distribuição um certificado SSL/TLS válido e confiável, que abranja o nome de domínio alternativo. Isso garante que somente as pessoas com acesso ao certificado do domínio possam associar ao CloudFront um CNAME relacionado ao seu domínio.

Um certificado confiável é aquele que é emitido pelo AWS Certificate Manager (ACM) ou por outra autoridade de certificação (CA) válida. Você pode usar um certificado autoassinado para validar um CNAME existente, mas não para um CNAME novo. O CloudFront oferece suporte às mesmas autoridades de certificação que o Mozilla. Para ver a lista atual, consulte Mozilla Included CA Certificate List. Para ter informações sobre certificados intermediários ao usar uma CA de terceiros, consulte Certificados intermediários.

Para verificar um nome de domínio alternativo usando o certificado que você anexar, incluindo nomes de domínio alternativos que incluem curingas, o CloudFront verifica o nome de assunto alternativo (SAN, subject alternative name) no certificado. O nome de domínio alternativo que você estiver adicionando deverá ser coberto pelo SAN.

Você prova que está autorizado a adicionar um determinado nome de domínio alternativo à distribuição de uma das seguintes maneiras:

Os exemplos a seguir ilustram como usar caracteres curinga em nomes de domínio em um trabalho certificado para autorizar a adição de nomes de domínio alternativos específicos no CloudFront.

Ao adicionar nomes de domínio alternativos, é necessário criar registros CNAME para rotear consultas de DNS para os nomes de domínio alternativos à distribuição do CloudFront. Para fazer isso, você deve ter permissão para criar registros CNAME com o provedor de serviço DNS para os nomes de domínio alternativos que está usando. Normalmente, isso significa que você tem os domínios, mas pode estar desenvolvendo um aplicativo para o proprietário dele.

Se quiser que os visualizadores usem HTTPS com um nome de domínio alternativo, será necessário realizar algumas configurações adicionais. Para ter mais informações, consulte Usar nomes de domínio alternativos e HTTPS.

Para saber o número máximo atual de nomes de domínio alternativos que podem ser adicionados a uma distribuição ou para solicitar uma cota maior (anteriormente conhecida como limite), consulte Cotas gerais para distribuições.

Não será possível adicionar um nome de domínio alternativo a uma distribuição do CloudFront se o mesmo nome de domínio alternativo já existir em outra distribuição do CloudFront, mesmo se a sua conta da AWS for a proprietária da outra distribuição.

No entanto, você pode adicionar um nome de domínio alternativo curinga, como *.exemplo.com, que inclui (sobrepõe) um nome de domínio alternativo não curinga, como www.exemplo.com. Se você tiver nomes de domínio alternativos sobrepostos em duas distribuições, o CloudFront enviará a solicitação para a distribuição com a correspondência de nome mais específica, independentemente da distribuição para a qual o registro de DNS apontar. Por exemplo, marketing.domínio.com é mais específico que *.domínio.com.

Se você tiver uma entrada de DNS curinga existente que aponta para uma distribuição do CloudFront e receber um erro de DNS configurado incorretamente ao tentar adicionar um novo CNAME com um nome mais específico, consulte O CloudFront retorna um erro de registro DNS configurado incorretamente quando tento adicionar um novo CNAME.

O CloudFront inclui proteção contra a ocorrência de domain fronting entre contas diferentes da AWS. O domain fronting é um cenário em que um cliente não padrão cria uma conexão TLS/SSL com um nome de domínio em uma conta da AWS, mas faz uma solicitação HTTPS para um nome não relacionado em outra conta da AWS. Por exemplo, a conexão TLS pode se conectar a www.exemplo.com e enviar uma solicitação HTTP para www.exemplo.org.

Para evitar casos em que o domain fronting passe por diferentes contas da AWS, o CloudFront garante que a conta da AWS que possui o certificado que serve para determinada conexão sempre corresponda à conta da AWS que possui a solicitação que ele processa na mesma conexão.

Se os dois números de conta da AWS não corresponderem, o CloudFront responderá com uma resposta HTTP 421 Misdirected Request (solicitação indevida) para oferecer ao cliente uma oportunidade de se conectar usando o domínio correto.

Ao adicionar um nome de domínio alternativo a uma distribuição, geralmente, você cria um registro CNAME na sua configuração de DNS para rotear consultas de DNS do nome de domínio para sua distribuição do CloudFront. No entanto, não é possível criar um registro CNAME no nó superior de um namespace DNS, também conhecido como o apex de zona. O protocolo DNS não permite isso. Por exemplo, se você registrar o nome do DNS exemplo.com, o apex de zona será exemplo.com. Você não pode criar um registro CNAME para exemplo.com, mas pode criar registros CNAME para www.exemplo.com, produtonovo.exemplo.com e assim por diante.

Se estiver usando o Route 53 como o serviço de DNS, você poderá criar um conjunto de registros de recurso de alias, que tem duas vantagens sobre os registros CNAME. Você pode criar um conjunto de registros de recurso de alias para um nome de domínio no nó superior (example.com). Além disso, ao usar um conjunto de registros de recurso de alias, você não paga pelas consultas do Route 53.

Para mais informações, consulte Rotear o tráfego para uma distribuição na Web do Amazon CloudFront usando seu nome de domínio no Guia do desenvolvedor do Amazon Route 53.