Exigence du protocole HTTPS pour les communications entre CloudFront et votre origine personnalisée - Amazon CloudFront
Exigence du protocole HTTPS pour les origines personnaliséesInstallation d’un certificat SSL/TLS sur votre origine personnalisée

Exigence du protocole HTTPS pour les communications entre CloudFront et votre origine personnalisée

Vous pouvez exiger que le protocole HTTPS soit utilisé pour les communications entre CloudFront et votre origine.

Note

Si votre origine est un compartiment Amazon S3 configuré en tant que point de terminaison de site web, vous ne pouvez pas configurer CloudFront pour utiliser HTTPS avec votre origine car Amazon S3 ne prend pas en charge HTTPS pour les points de terminaison de site web.

Pour exiger HTTPS entre CloudFront et votre origine, procédez comme suit :

  1. Dans votre distribution, modifiez le paramètre Stratégie de protocole d'origine pour l'origine.

  2. Installez un certificat SSL/TLS sur votre serveur d'origine (ce n'est pas obligatoire lorsque vous utilisez une origine Amazon S3 ou certaines autres origines AWS).

Exigence du protocole HTTPS pour les origines personnalisées

La procédure suivante explique comment configurer CloudFront de manière à utiliser le protocole HTTPS pour communiquer avec un équilibreur de charge Elastic Load Balancing, une instance Amazon EC2 ou une autre origine personnalisée. Pour plus d’informations sur l’utilisation de l’API CloudFront pour mettre à jour une distribution web, consultez UpdateDistribution dans la Référence des API Amazon CloudFront.

Pour configurer CloudFront pour imposer le protocole HTTPS entre CloudFront et votre origine personnalisée

  1. Connectez-vous à AWS Management Console et ouvrez la console CloudFront à l'adresse https://console.aws.amazon.com/cloudfront/v4/home.

  2. Dans le volet supérieur de la console CloudFront, choisissez l'ID de la distribution que vous souhaitez mettre à jour.

  3. Dans l’onglet Comportements, sélectionnez l’origine à mettre à jour, puis choisissez Modifier.

  4. Modifiez les paramètres suivants :

    Origin Protocol Policy

    Modifiez le paramètre Stratégie de protocole d'origine pour les origines concernées de votre distribution :

    • HTTPS Only (HTTPS uniquement) – CloudFront utilise uniquement HTTPS pour communiquer avec votre origine personnalisée.

    • Identique à l’utilisateur : CloudFront communique avec votre origine personnalisée via HTTP ou HTTPS, selon le protocole de la demande de l’utilisateur. Par exemple, si vous avez choisi la valeur Identique à l’utilisateur pour Stratégie de protocole d’origine et que l’utilisateur utilise HTTPS pour demander un objet à CloudFront, CloudFront utilise également HTTPS pour transférer la demande à votre origine.

      Ne sélectionnez Identique à l’utilisateur que si vous affectez la valeur Rediriger HTTP vers HTTPS ou HTTPS uniquement au paramètre Stratégie de protocole d’utilisateur.

      CloudFront ne met l'objet en cache qu'une seule fois, même si les utilisateurs émettent des demandes à l'aide des protocoles HTTP et HTTPS.

    Origin SSL Protocols

    Choisissez les Protocoles SSL d'origine pour les origines concernées de votre distribution. Le protocole SSLv3 étant moins sécurisé, nous vous recommandons de choisir SSLv3 uniquement si votre origine ne prend pas en charge TLSv1 ou version ultérieure. L’établissement de liaison TLSv1 est compatible avec les versions précédentes et à venir de SSLv3, ce qui n’est pas le cas de TLSv1.1 et des versions ultérieures. Lorsque vous choisissez SSLv3, CloudFront envoie uniquement les demandes de liaison SSLv3.

  5. Sélectionnez Enregistrer les modifications.

  6. Répétez les étapes 3 à 5 pour chaque origine supplémentaire pour laquelle vous souhaitez exiger HTTPS entre CloudFront et votre origine personnalisée.

  7. Vérifiez les éléments suivants avant d'utiliser la configuration mise à jour dans un environnement de production :

    • Le modèle de chemin de chaque comportement de cache s’applique uniquement aux requêtes pour lesquelles vous souhaitez que les visionneuses utilisent HTTPS.

    • Les comportements de cache sont répertoriés dans l’ordre dans lequel vous voulez que CloudFront les évalue. Pour plus d’informations, consultez Modèle de chemin d’accès.

    • Les comportements de cache acheminent les requêtes vers les origines pour lesquelles vous avez modifié le paramètre Stratégie de protocole d'origine.

Installation d’un certificat SSL/TLS sur votre origine personnalisée

Vous pouvez utiliser un certificat SSL/TLS provenant des sources suivantes sur votre origine personnalisée :

  • Si votre origine est un équilibreur de charge Elastic Load Balancing, vous pouvez utiliser un certificat fourni par AWS Certificate Manager (ACM). Vous pouvez également utiliser un certificat signé par une autorité de certification tierce reconnue et importé dans ACM.

  • Pour les origines autres que les équilibreurs de charge Elastic Load Balancing, vous devez utiliser un certificat signé par une autorité de certification (CA) tierce approuvée, par exemple, Comodo, DigiCert ou Symantec.

Le certificat renvoyé depuis l'origine doit comprendre l'un des noms de domaine suivants :

  • Nom de domaine dans le champ Origin domain (Domaine d'origine) de l’origine (le champ DomainName dans l'API CloudFront).

  • Nom du domaine dans l’en-tête Host, si le comportement du cache est configuré pour transférer l'en-tête Host de l'origine.

Lorsque CloudFront utilise HTTPS pour communiquer avec votre origine, CloudFront vérifie si le certificat provient bien d’une autorité de certification approuvée. CloudFront prend en charge les mêmes autorités de certification que Mozilla. Pour obtenir la liste actuelle, consultez Liste des certificats CA inclus dans Mozilla. Vous ne pouvez pas utiliser un certificat auto-signé pour la communication HTTPS entre CloudFront et votre origine.

Important

Si le serveur d'origine renvoie un certificat expiré, non valide ou auto-signé, ou s'il renvoie la chaîne de certificats dans le désordre, CloudFront annule la connexion TCP, renvoie un code d'état HTTP 502 (Passerelle incorrecte) à l’utilisateur et affecte à l'en-tête X-Cache la valeur Error from cloudfront. De plus, si la chaîne de certificats, y compris le certificat intermédiaire, n’est pas présente, CloudFront annule la connexion TCP.