在2016年,我有写过一篇有关 Amazon CloudFront 只支持有限的几个加密算法,来连接到定制源的问题。
当时是这样的:
Amazon CloudFront 要求的加密算法:
-
ECDHE-RSA-AES128-SHA
-
ECDHE-RSA-AES256-SHA
-
AES256-SHA
-
AES128-SHA
-
DES-CBC3-SHA
-
RC4-MD5
于是我就采用了双证书, RSA 和 ECC 两个证书的办法来解决。
最近发现我有添加 ECC 证书,Amazon CloudFront 没有出现 502 错误。于是我查看了一下 AWS 的最新说明。
从CloudFront 到你的源之间的通信,所支持的 SSL/TLS 协议和加密方式
CloudFront 要求源要支持下面列出的 ECDSA 和 RSA 加密套件,CloudFront 才能连接你的源服务器,并获取内容。
椭圆曲线支持 prime256v1 和 secp384r1
RSA 套件
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- AES128-SHA
- DES-CBC3-SHA
- RC4-MD5
ECDSA 套件
- ECDHE-ECDSA-AES256- GCM-SHA384
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-ECDSA-AES256-SHA
- ECDHE-ECDSA-AES128- GCM-SHA256
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES128-SHA
知道这些情况,以后就不用再使用双证书了,只要用 ECC 证书即可。
根据 AWS 2018/3/15 的文章,CloudFront now Supports ECDSA Certificates for HTTPS Connections to Origins,AWS 也是从三月开始支持 ECC 证书的。