Amazon CloudFront 已经支持椭圆曲线证书来连接源

在2016年,我有写过一篇有关 Amazon CloudFront 只支持有限的几个加密算法,来连接到定制源的问题。

当时是这样的:

Amazon CloudFront 要求的加密算法:

于是我就采用了双证书, RSA 和 ECC 两个证书的办法来解决。

最近发现我有添加 ECC 证书,Amazon CloudFront 没有出现 502 错误。于是我查看了一下 AWS 的最新说明。

从CloudFront 到你的源之间的通信,所支持的 SSL/TLS 协议和加密方式

CloudFront 要求源要支持下面列出的 ECDSA 和 RSA 加密套件,CloudFront 才能连接你的源服务器,并获取内容。

椭圆曲线支持 prime256v1 和 secp384r1

RSA 套件

ECDSA 套件

知道这些情况,以后就不用再使用双证书了,只要用 ECC 证书即可。

根据 AWS 2018/3/15 的文章,CloudFront now Supports ECDSA Certificates for HTTPS Connections to Origins,AWS 也是从三月开始支持 ECC 证书的。