# Escolher como o CloudFront atende a solicitações HTTPS
Se quiser que os visualizadores usem HTTPS e nomes de domínio alternativos para os arquivos, escolha uma das opções a seguir de como o CloudFront atende a solicitações HTTPS:
+ Usar a [indicação de nome de servidor (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication): recomendado
+ Use um endereço IP dedicado em cada ponto de presença
Esta seção explica como cada opção funciona.
## Usar SNI para atender a solicitações HTTPS (funciona para a maioria dos clientes)
A [Indicação de nome de servidor (SNI)](https://en.wikipedia.org/wiki/Server_Name_Indication) é uma extensão do protocolo TLS, compatível com os navegadores e clientes lançados após 2010. Se você configurar o CloudFront para atender a solicitações HTTPS usando SNI, ele associará seu nome de domínio alternativo a um endereço IP para cada ponto de presença. Quando um visualizador envia uma solicitação HTTPS para seu conteúdo, o DNS a roteia para o endereço IP do ponto de presença correto. O endereço IP para o seu nome de domínio é determinado durante a negociação do handshake SSL/TLS. O endereço IP não é dedicado à sua distribuição.
A negociação SSL/TLS ocorre no início do processo de estabelecimento de uma conexão HTTPS. Se o CloudFront não conseguir determinar imediatamente qual é o domínio da solicitação, ele interromperá a conexão. Veja o que acontece quando um visualizador compatível com SNI envia uma solicitação HTTP para seu conteúdo:
1. O visualizador recebe automaticamente o nome de domínio do URL da solicitação e o adiciona à extensão SNI da mensagem de saudações ao cliente TLS.
1. Quando o CloudFront recebe a mensagem de saudações ao cliente TLS, ele usa o nome de domínio na extensão SNI para encontrar a distribuição correspondente do CloudFront e envia de volta o certificado TLS associado.
1. O visualizador e o CloudFront executam a negociação SSL/TLS.
1. O CloudFront retorna o conteúdo solicitado para o visualizador.
Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).
Se você quiser usar a SNI, mas o navegador de alguns dos seus usuário não forem compatíveis, há várias opções:
+ Configure o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, em vez de SNI. Para obter mais informações, consulte [Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes)](#cnames-https-dedicated-ip).
+ Use o certificado SSL/TLS do CloudFront, em vez de um certificado personalizado. Isso requer o uso do nome de domínio do CloudFront da sua distribuição nos URLs dos seus arquivos, por exemplo, `https://d111111abcdef8.cloudfront.net/logo.png`.
Se você usar o certificado padrão do CloudFront, os visualizadores deverão oferecer suporte ao protocolo SSL TLSv1 ou posterior. O CloudFront não oferece suporte a SSLv3 com o certificado padrão do CloudFront.
Também é necessário alterar o certificado SSL/TLS usado pelo CloudFront de um certificado personalizado para o certificado padrão do CloudFront:
+ Se você não usou sua distribuição para distribuir o conteúdo, poderá simplesmente alterar a configuração. Para obter mais informações, consulte [Atualizar uma distribuição](HowToUpdateDistribution.md).
+ Caso contrário, será necessário criar uma distribuição do CloudFront e alterar os URLs dos seus arquivos para reduzir ou eliminar o tempo de indisponibilidade do conteúdo. Para obter mais informações, consulte [Reverter um certificado SSL/TLS personalizado para o certificado padrão do CloudFront](cnames-and-https-revert-to-cf-certificate.md).
+ Se você puder controlar qual navegador seus usuários usam, peça que atualizem-no para um que seja compatível com SNI.
+ Use HTTP, em vez de HTTPS.
## Usar um endereço IP dedicado para atender a solicitações HTTPS (funciona para todos os clientes)
A Indicação de Nome de Servidor (SNI) é uma maneira de associar uma solicitação a um domínio. Outra maneira é usar um endereço IP dedicado. Se tiver usuários que não podem fazer a atualização para um navegador ou cliente lançado após 2010, você poderá usar um endereço IP dedicado para atender a solicitações HTTPS. Para obter uma lista atual dos navegadores compatíveis com SNI, consulte a entrada da Wikipedia [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).
**Importante**
Se você configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, será cobrado um adicional por mês. A cobrança começará quando você associar seu certificado SSL/TLS a uma distribuição e habilitar a distribuição. Para mais informações sobre os preços do CloudFront, consulte [Definição de preços do Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing). Além disso, consulte [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions).
Ao configurar o CloudFront para atender a solicitações HTTPS usando endereços IP dedicados, ele associará seu certificado a um endereço IP dedicado em cada local da borda. Veja o que acontece quando um visualizador envia uma solicitação HTTP para seu conteúdo:
1. O DNS roteia a solicitação para o endereço IP da sua distribuição no ponto de presença aplicável.
1. Se uma solicitação do cliente fornecer a extensão SNI na mensagem `ClientHello`, o CloudFront procurará uma distribuição associada a essa SNI.
+ Se houver correspondência, o CloudFront responderá à solicitação com o certificado SSL/TLS.
+ Se não houver correspondência, o CloudFront usa o endereço IP para identificar sua distribuição e determinar qual certificado SSL/TLS retornar para o visualizador.
1. O visualizador e o CloudFront executam uma negociação SSL/TLS usando seu certificado SSL/TLS.
1. O CloudFront retorna o conteúdo solicitado para o visualizador.
Este método funciona para todas as solicitações HTTPS, independentemente do navegador ou outro visualizador usado pelo usuário.
**nota**
IPs dedicados não são IPs estáticos e podem mudar com o tempo. O endereço IP que é retornado para o local da borda é alocado dinamicamente dos intervalos de endereços IP da [lista de servidores de borda do CloudFront](LocationsOfEdgeServers.md).
Os intervalos de endereço IP para os servidores de borda do CloudFront estão sujeitos a alterações. Para receber uma notificação sobre as alterações de endereço IP, [assine as alterações de endereço IP público da AWS via Amazon SNS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).
## Solicitar permissão para usar três ou mais certificados SSL/TLS com IP dedicado
Se precisar de permissão para associar de forma permanente três ou mais certificados SSL/TLS com IP dedicado ao CloudFront, execute o procedimento a seguir. Para mais detalhes sobre solicitações HTTPS, consulte [Escolher como o CloudFront atende a solicitações HTTPS](#cnames-https-dedicated-ip-or-sni).
**nota**
Esse procedimento serve para usar três ou mais certificados com IP dedicado em todas as suas distribuições do CloudFront. O valor padrão é 2. Lembre-se de que você não pode associar mais de um certificado SSL a uma distribuição.
É possível associar somente um único certificado SSL/TLS a uma distribuição do CloudFront por vez. Esse número é para o total de certificados SSL com IP dedicado que podem ser usados em todas as suas distribuições do CloudFront.
**Como solicitar permissão para usar três ou mais certificados com uma distribuição do CloudFront**
1. Acesse o [Support Center](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions) e crie um caso.
1. Indique quantos certificados você precisa de permissão para usar e descreva as circunstâncias na solicitação. Atualizaremos sua conta o mais rápido possível.
1. Vá para o próximo procedimento.