Usar SNI para atender a solicitações HTTPS (funciona para a maioria dos clientes)Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes)Solicitar permissão para usar três ou mais certificados SSL/TLS com IP dedicado

Escolher como o CloudFront atende a solicitações HTTPS

Se quiser que os visualizadores usem HTTPS e nomes de domínio alternativos para os arquivos, escolha uma das opções a seguir de como o CloudFront atende a solicitações HTTPS:

Usar a indicação de nome de servidor (SNI): recomendado
Use um endereço IP dedicado em cada ponto de presença

Esta seção explica como cada opção funciona.

Usar SNI para atender a solicitações HTTPS (funciona para a maioria dos clientes)

A Indicação de nome de servidor (SNI) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar o CloudFront para atender a solicitações HTTPS usando SNI, ele associará seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP para o seu nome de domínio é determinado durante a negociação do handshake SSL/TLS. O endereço IP não é dedicado à sua distribuição.

A negociação SSL/TLS ocorre no início do processo de estabelecimento de uma conexão HTTPS. Se o CloudFront não conseguir determinar imediatamente qual é o domínio da solicitação, ele interromperá a conexão. Veja o que acontece quando um visualizador compatível com SNI envia uma solicitação HTTP para seu conteúdo:

O visualizador recebe automaticamente o nome de domínio do URL da solicitação e o adiciona à extensão SNI da mensagem de saudações ao cliente TLS.
Quando o CloudFront recebe a mensagem de saudações ao cliente TLS, ele usa o nome de domínio na extensão SNI para encontrar a distribuição correspondente do CloudFront e envia de volta o certificado TLS associado.
O visualizador e o CloudFront executam a negociação SSL/TLS.
O CloudFront retorna o conteúdo solicitado para o visualizador.

Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia Server Name Indication.

Se você quiser usar a SNI, mas o navegador de alguns dos seus usuário não forem compatíveis, há várias opções:

Configure o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, em vez de SNI. Para obter mais informações, consulte Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes).
Use o certificado SSL/TLS do CloudFront, em vez de um certificado personalizado. Isso requer o uso do nome de domínio do CloudFront da sua distribuição nos URLs dos seus arquivos, por exemplo, https://d111111abcdef8.cloudfront.net/logo.png.

Se você usar o certificado padrão do CloudFront, os visualizadores deverão oferecer suporte ao protocolo SSL TLSv1 ou posterior. O CloudFront não oferece suporte a SSLv3 com o certificado padrão do CloudFront.

Também é necessário alterar o certificado SSL/TLS usado pelo CloudFront de um certificado personalizado para o certificado padrão do CloudFront:
- Se você não usou sua distribuição para distribuir o conteúdo, poderá simplesmente alterar a configuração. Para obter mais informações, consulte Atualizar uma distribuição.
- Caso contrário, será necessário criar uma distribuição do CloudFront e alterar os URLs dos seus arquivos para reduzir ou eliminar o tempo de indisponibilidade do conteúdo. Para obter mais informações, consulte Reverter um certificado SSL/TLS personalizado para o certificado padrão do CloudFront.
Se você puder controlar qual navegador seus usuários usam, peça que atualizem-no para um que seja compatível com SNI.
Use HTTP, em vez de HTTPS.

Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes)

A Indicação de Nome de Servidor (SNI) é uma maneira de associar uma solicitação a um domínio. Outra maneira é usar um endereço IP dedicado. Se tiver usuários que não podem fazer a atualização para um navegador ou cliente lançado após 2010, você poderá usar um endereço IP dedicado para atender a solicitações HTTPS. Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia Server Name Indication.

Importante

Se você configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, será cobrado um adicional por mês. A cobrança começará quando você associar seu certificado SSL/TLS a uma distribuição e habilitar a distribuição. Para mais informações sobre os preços do CloudFront, consulte Definição de preços do Amazon CloudFront. Além disso, consulte Using the Same Certificate for Multiple CloudFront Distributions.

Ao configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, ele associará seu certificado a um endereço IP dedicado em cada local da borda. Veja o que acontece quando um visualizador envia uma solicitação HTTP para seu conteúdo:

O DNS roteia a solicitação para o endereço IP da sua distribuição no ponto de presença aplicável.
Se uma solicitação do cliente fornecer a extensão SNI na mensagem ClientHello, o CloudFront procurará uma distribuição associada a essa SNI.
- Se houver correspondência, o CloudFront responderá à solicitação com o certificado SSL/TLS.
- Se não houver correspondência, o CloudFront usa o endereço IP para identificar sua distribuição e determinar qual certificado SSL/TLS retornar para o visualizador.
O visualizador e o CloudFront executam uma negociação SSL/TLS usando seu certificado SSL/TLS.
O CloudFront retorna o conteúdo solicitado para o visualizador.

Este método funciona para todas as solicitações HTTPS, independentemente do navegador ou outro visualizador usado pelo usuário.

nota

IPs dedicados não são IPs estáticos e podem mudar com o tempo. O endereço IP que é retornado para o local da borda é alocado dinamicamente dos intervalos de endereços IP da lista de servidores de borda do CloudFront.

Os intervalos de endereço IP para os servidores de borda do CloudFront estão sujeitos a alterações. Para receber uma notificação sobre as alterações de endereço IP, assine as alterações de endereço IP público da AWS via Amazon SNS.

Solicitar permissão para usar três ou mais certificados SSL/TLS com IP dedicado

Se precisar de permissão para associar de forma permanente três ou mais certificados SSL/TLS com IP dedicado ao CloudFront, execute o procedimento a seguir. Para mais detalhes sobre solicitações HTTPS, consulte Escolher como o CloudFront atende a solicitações HTTPS.

nota

Esse procedimento serve para usar três ou mais certificados com IP dedicado em todas as suas distribuições do CloudFront. O valor padrão é 2. Lembre-se de que você não pode associar mais de um certificado SSL a uma distribuição.

É possível associar somente um único certificado SSL/TLS a uma distribuição do CloudFront por vez. Esse número é para o total de certificados SSL com IP dedicado que podem ser usados em todas as suas distribuições do CloudFront.

Como solicitar permissão para usar três ou mais certificados com uma distribuição do CloudFront

Acesse o Support Center e crie um caso.
Indique quantos certificados você precisa de permissão para usar e descreva as circunstâncias na solicitação. Atualizaremos sua conta o mais rápido possível.
Vá para o próximo procedimento.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar nomes de domínio alternativos e HTTPS

Requisitos para usar certificados SSL/TLS com o CloudFront