Choisissez le mode de CloudFront traitement des requêtes HTTPS - Amazon CloudFront
Utiliser le SNI pour répondre aux requêtes HTTPS (fonctionne pour la plupart des clients)Utiliser une adresse IP dédiée pour répondre aux requêtes HTTPS (fonctionne pour tous les clients)Demande l'autorisation d'utiliser au moins trois certificats IP SSL/TLS dédiés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choisissez le mode de CloudFront traitement des requêtes HTTPS

Si vous souhaitez que vos utilisateurs utilisent le protocole HTTPS et utilisent des noms de domaine alternatifs pour vos fichiers, choisissez l'une des options suivantes pour le traitement CloudFront des requêtes HTTPS :

Cette section explique le mode de fonctionnement de chaque option.

Utiliser le SNI pour répondre aux requêtes HTTPS (fonctionne pour la plupart des clients)

Server Name Indication (SNI) est une extension du protocole TLS prise en charge par les navigateurs et les clients lancés après 2010. Si vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide du SNI, CloudFront associez votre nom de domaine alternatif à une adresse IP pour chaque emplacement périphérique. Lorsqu’un utilisateur envoie une demande HTTPS pour votre contenu, DNS achemine la demande vers l’adresse IP de l’emplacement périphérique correct. L’adresse IP vers votre nom de domaine est déterminée au cours de la négociation de la liaison SSL/TLS. L’adresse IP n’est pas dédiée à votre distribution.

La négociation SSL/TLS se produit tôt dans le processus d’établissement de connexion HTTPS. S'il n'est pas CloudFront possible de déterminer immédiatement à quel domaine la demande est destinée, la connexion est interrompue. Lorsqu’une visionneuse prenant en charge SNI envoie une requête HTTPS pour obtenir votre contenu, voici ce qui se passe :

  1. Le visualiseur obtient automatiquement le nom de domaine à partir de l'URL de demande et l'ajoute à l'extension SNI du message d'accueil du client TLS.

  2. Lorsqu'il CloudFront reçoit le client TLS hello, il utilise le nom de domaine de l'extension SNI pour trouver la CloudFront distribution correspondante et renvoie le certificat TLS associé.

  3. Le visualiseur et CloudFront exécutent la négociation SSL/TLS.

  4. CloudFront renvoie le contenu demandé au spectateur.

Pour une liste actuelle des navigateurs qui prennent en charge l’extension SNI, consultez l’entrée Server Name Indication de Wikipedia.

Si vous souhaitez utiliser l’extension SNI mais que certains navigateurs de vos utilisateurs ne la prennent pas en charge, vous disposez des solutions suivantes :

  • Configurez CloudFront pour répondre aux requêtes HTTPS en utilisant des adresses IP dédiées au lieu du SNI. Pour de plus amples informations, veuillez consulter Utiliser une adresse IP dédiée pour répondre aux requêtes HTTPS (fonctionne pour tous les clients).

  • Utilisez le certificat CloudFront SSL/TLS au lieu d'un certificat personnalisé. Cela nécessite que vous utilisiez le nom de CloudFront domaine de votre distribution dans celui URLs de vos fichiers, par exemple,https://d111111abcdef8.cloudfront.net/logo.png.

    Si vous utilisez le CloudFront certificat par défaut, les utilisateurs doivent prendre en charge le protocole SSL TLSv1 ou une version ultérieure. CloudFront n'est pas compatible SSLv3 avec le CloudFront certificat par défaut.

    Vous devez également remplacer le certificat SSL/TLS utilisé par un certificat personnalisé par le certificat par défaut : CloudFront CloudFront

    • Si vous n’avez pas utilisé votre distribution pour transmettre votre contenu, vous pouvez juste modifier la configuration. Pour de plus amples informations, veuillez consulter Mettre à jour une distribution.

    • Si vous avez utilisé votre distribution pour distribuer votre contenu, vous devez créer une nouvelle CloudFront distribution et modifier la URLs distribution de vos fichiers afin de réduire ou d'éliminer le temps pendant lequel votre contenu n'est pas disponible. Pour de plus amples informations, veuillez consulter Revenir d'un certificat SSL/TLS personnalisé au certificat par défaut CloudFront .

  • Si vous pouvez contrôler le navigateur employé par vos utilisateurs, demandez-leur de mettre leur navigateur à niveau afin qu’il accepte l’extension SNI.

  • Utilisez HTTP au lieu de HTTPS.

Utiliser une adresse IP dédiée pour répondre aux requêtes HTTPS (fonctionne pour tous les clients)

L’utilisation d’une extension SNI (Server Name Indication) est une façon d’associer une demande à un domaine. Une autre méthode consiste à utiliser une adresse IP dédiée. Si vous avez des utilisateurs qui ne peuvent pas effectuer une mise à niveau vers un navigateur ou un client lancé après 2010, vous pouvez utiliser une adresse IP dédiée pour servir les demandes HTTPS. Pour une liste actuelle des navigateurs qui prennent en charge l’extension SNI, consultez l’entrée Server Name Indication de Wikipedia.

Important

Si vous configurez CloudFront pour répondre aux requêtes HTTPS à l'aide d'adresses IP dédiées, vous devrez payer des frais mensuels supplémentaires. Ces frais commencent lors de l’association de votre certificat SSL/TLS à une distribution et de l’activation de cette distribution. Pour plus d'informations sur CloudFront les tarifs, consultez Amazon CloudFront Pricing. Consultez également Using the Same Certificate for Multiple CloudFront Distributions.

Lorsque vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide d'adresses IP dédiées, CloudFront associez votre certificat à une adresse IP dédiée dans chaque emplacement CloudFront périphérique. Lorsqu’une visionneuse envoie une requête HTTPS pour obtenir votre contenu, voici ce qui se passe :

  1. DNS achemine la requête à l’adresse IP de votre distribution dans l’emplacement périphérique concerné.

  2. Si une demande du client fournit l'extension SNI dans le ClientHello message, CloudFront recherche une distribution associée à ce SNI.

    • S'il y a une correspondance, CloudFront répond à la demande avec le certificat SSL/TLS.

    • S'il n'y a pas de correspondance, CloudFront utilise plutôt l'adresse IP pour identifier votre distribution et pour déterminer le certificat SSL/TLS à renvoyer au lecteur.

  3. Le lecteur et le SSL/TLS negotiation using your SSL/TLS certificat d' CloudFront exécution.

  4. CloudFront renvoie le contenu demandé au spectateur.

Cette méthode fonctionne pour toutes les requêtes HTTPS, quel que soit le navigateur ou autre client employé par l’utilisateur.

Note

IPs Les objets dédiés ne sont pas statiques IPs et peuvent changer au fil du temps. L'adresse IP renvoyée pour l'emplacement périphérique est allouée dynamiquement à partir des plages d'adresses IP de la liste des serveurs CloudFront périphériques.

Les plages d'adresses IP pour les serveurs CloudFront Edge sont sujettes à modification. Pour être informé des modifications d'adresse IP, abonnez-vous à la section Changements d'adresse IP AWS publique via Amazon SNS.

Demande l'autorisation d'utiliser au moins trois certificats IP SSL/TLS dédiés

Si vous avez besoin d'une autorisation pour associer de manière permanente au moins trois certificats IP dédiés SSL/TLS CloudFront, effectuez la procédure suivante. Pour de plus amples informations sur les requêtes HTTPS, consultez Choisissez le mode de CloudFront traitement des requêtes HTTPS.

Note

Cette procédure permet d'utiliser au moins trois certificats IP dédiés dans vos CloudFront distributions. La valeur par défaut est 2. N’oubliez pas que vous ne pouvez pas lier plusieurs certificats SSL à une distribution.

Vous ne pouvez associer qu'un seul certificat SSL/TLS à une CloudFront distribution à la fois. Ce nombre correspond au nombre total de certificats IP SSL dédiés que vous pouvez utiliser dans toutes vos CloudFront distributions.

Pour demander l'autorisation d'utiliser trois certificats ou plus avec une distribution CloudFront

  1. Accédez au Centre de support et créez une demande.

  2. Indiquez le nombre de certificats dont vous avez besoin et décrivez les circonstances de votre demande. Nous mettrons votre compte à jour dès que possible.

  3. Poursuivez avec la procédure suivante.