Amazon CloudFront 已经支持椭圆曲线证书来连接源

在2016年，我有写过一篇有关 Amazon CloudFront 只支持有限的几个加密算法，来连接到定制源的问题。

当时是这样的：

Amazon CloudFront 要求的加密算法：

• ECDHE-RSA-AES128-SHA

• ECDHE-RSA-AES256-SHA

• AES256-SHA

• AES128-SHA

• DES-CBC3-SHA

• RC4-MD5

于是我就采用了双证书， RSA 和 ECC 两个证书的办法来解决。

最近发现我有添加 ECC 证书，Amazon CloudFront 没有出现 502 错误。于是我查看了一下 AWS 的最新说明。

从CloudFront 到你的源之间的通信，所支持的 SSL/TLS 协议和加密方式

CloudFront 要求源要支持下面列出的 ECDSA 和 RSA 加密套件，CloudFront 才能连接你的源服务器，并获取内容。

椭圆曲线支持 prime256v1 和 secp384r1

RSA 套件

• ECDHE-RSA-AES128-SHA256
• ECDHE-RSA-AES256-SHA384
• AES256-SHA
• AES128-SHA
• DES-CBC3-SHA
• RC4-MD5

ECDSA 套件

• ECDHE-ECDSA-AES256- GCM-SHA384
• ECDHE-ECDSA-AES256-SHA384
• ECDHE-ECDSA-AES256-SHA
• ECDHE-ECDSA-AES128- GCM-SHA256
• ECDHE-ECDSA-AES128-SHA256
• ECDHE-ECDSA-AES128-SHA

知道这些情况，以后就不用再使用双证书了，只要用 ECC 证书即可。

根据 AWS 2018/3/15 的文章，CloudFront now Supports ECDSA Certificates for HTTPS Connections to Origins，AWS 也是从三月开始支持 ECC 证书的。