Exigir HTTPS na comunicação entre o CloudFront e a origem personalizada - Amazon CloudFront
Exigir HTTPS para origens personalizadasInstalar um certificado SSL/TLS na origem personalizada

Exigir HTTPS na comunicação entre o CloudFront e a origem personalizada

Você pode exigir o uso de HTTPS na comunicação entre o CloudFront e sua origem.

nota

Se a origem for um bucket do Amazon S3 configurado como um endpoint do site, não será possível configurar o CloudFront para usar HTTPS com a origem porque o Amazon S3 não é compatível com HTTPS para endpoints de site.

Para exigir HTTPS entre o CloudFront e sua origem, siga os procedimentos deste tópico para fazer o seguinte:

  1. Em sua distribuição, altere a configuração Origin Protocol Policy (Política de protocolo da origem) para a origem.

  2. Instale um certificado SSL/TLS no servidor de origem (isso não é necessário ao usar uma origem do Amazon S3 ou algumas outras origens da AWS).

Exigir HTTPS para origens personalizadas

O procedimento a seguir explica como configurar o CloudFront para usar HTTPS para se comunicar com um balanceador de carga do Elastic Load Balancing, uma instância do Amazon EC2 ou outra origem personalizada. Para obter informações sobre como usar a API do CloudFront para atualizar uma distribuição, consulte UpdateDistribution na Referência da API do Amazon CloudFront.

Como configurar o CloudFront para exigir HTTPS entre o CloudFront e a origem personalizada

  1. Faça login no AWS Management Console e abra o console do CloudFront em https://console.aws.amazon.com/cloudfront/v4/home.

  2. No painel superior do console do CloudFront, escolha o ID da distribuição que você deseja atualizar.

  3. Na guia Behaviors (Comportamentos), selecione a origem que você deseja atualizar e, em seguida, escolha Edit (Editar).

  4. Atualize as seguintes configurações:

    Política de protocolo da origem

    Altere Origin Protocol Policy para as origens aplicáveis à sua distribuição:

    • HTTPS Only (Somente HTTPS): o CloudFront usa HTTPS para se comunicar com a origem personalizada.

    • Match Viewer (Corresponder visualizador): o CloudFront se comunica com a origem personalizada usando HTTP ou HTTPS, dependendo do protocolo da solicitação do visualizador. Por exemplo, se você escolher Match Viewer (Corresponder visualizador) para Origin Protocol Policy (Política de protocolo de origem) e o visualizador usar HTTPS para solicitar um objeto do CloudFront, o CloudFront também usará HTTPS para encaminhar a solicitação para a origem.

      Escolha Match Viewer somente se você especificar Redirect HTTP to HTTPS ou HTTPS Only em Viewer Protocol Policy.

      Observe que o CloudFront armazenará o objeto em cache somente uma vez se os visualizadores fizerem solicitações usando protocolos HTTP e HTTPS.

    Origin SSL Protocols

    Escolha os Origin SSL Protocols para as origens aplicáveis à sua distribuição. O protocolo SSLv3 é menos seguro, portanto, recomendamos que você escolha SSLv3 somente se a origem não for compatível com TLSv1 ou posterior. O handshake TLSv1 é compatível com as versões anteriores e posteriores do SSLv3, mas não com o TLSv1.1 e posterior. Quando você escolhe SSLv3, o CloudFront envia somente solicitações de handshake SSLv3.

  5. Escolha Salvar alterações.

  6. Repita as etapas 3 a 5 para cada origem adicional para a qual você deseja exigir HTTPS entre o CloudFront e a origem personalizada.

  7. Antes de usar a configuração atualizada em um ambiente de produção, confirme:

    • Se o padrão de caminho de cada comportamento de cache se aplica apenas às solicitações nas quais os visualizadores devem usar HTTPS.

    • Se os comportamentos de cache estão listados na ordem em que você deseja que o CloudFront os avalie. Para ter mais informações, consulte Padrão de caminho.

    • Os comportamentos de cache estão roteando solicitações para as origens nas quais você alterou a opção Origin Protocol Policy.

Instalar um certificado SSL/TLS na origem personalizada

Você pode usar um certificado SSL/TLS das seguintes fontes na sua origem personalizada:

  • Se a origem for um balanceador de carga do Elastic Load Balancing, você poderá usar um certificado fornecido pelo AWS Certificate Manager (ACM). Você também pode usar um certificado assinado por uma autoridade de certificação terceirizada reconhecida e importado no ACM.

  • Para origens diferentes de balanceadores de carga do Elastic Load Balancing, use um certificado assinado por uma autoridade de certificação (CA) confiável de terceiros, como a Comodo, a DigiCert ou a Symantec.

O certificado retornado da origem deve incluir um dos seguintes nomes de domínio:

  • O nome de domínio no campo Origin domain (Domínio de origem) da origem (o campo DomainName na API do CloudFront).

  • O nome do domínio no cabeçalho Host, se o comportamento do cache estiver configurado para encaminhar o cabeçalho Host para a origem.

Ao usar HTTPS para se comunicar com a origem, o CloudFront verifica se o certificado foi emitido por uma autoridade de certificação reconhecida. O CloudFront é compatível com as mesmas autoridades de certificação que o Mozilla. Para ver a lista atual, consulte Mozilla Included CA Certificate List. Você não pode usar um certificado autoassinado para comunicação HTTPS entre o CloudFront e a origem.

Importante

Se o servidor de origem retornar um certificado expirado, inválido ou autoassinado, ou a cadeia de certificados na ordem errada, o CloudFront interromperá a conexão TCP, retornará o código de status HTTP 502 (gateway inválido) ao visualizador e definirá o cabeçalho X-Cache como Error from cloudfront. Além disso, se toda a cadeia de certificados, inclusive o certificado intermediário, não estiver presente, o CloudFront interromperá a conexão TCP.