支持的协议和密码
您可以为查看器和 CloudFront 之间的通信以及 CloudFront 和源之间的通信选择 HTTPS 设置:
-
查看器和 CloudFront 之间 – 如果您要求在查看器和 CloudFront 之间使用 HTTPS,您还要选择安全策略,该策略确定查看器和 CloudFront 之间的通信可以使用的协议。此外,安全策略还确定 CloudFront 可使用哪种密码来加密它返回到查看器的内容。
-
CloudFront 和源之间 – 如果您要求在 CloudFront 和源之间使用 HTTPS,您还要选择 CloudFront 和源之间的通信使用的协议。您选择的协议将确定源可使用哪种密码来加密它返回到 CloudFront 的内容。
适用于查看器和 CloudFront 之间通信且支持的 SSL/TLS 协议和密码
要选择是否要求在查看器和 CloudFront 之间使用 HTTPS,请为 查看器协议策略 指定适用的值。
如果您选择要求使用 HTTPS,则您还要选择您希望 CloudFront 用于 HTTPS 连接的安全策略。安全策略确定两个设置:
-
CloudFront 与查看器通信所用的 SSL/TLS 协议
-
CloudFront 用来加密其返回到查看器的内容的密码
我们建议您指定 TLSv1.1_2016,除非您的用户使用的浏览器或设备不支持 TLSv1.1 或更高版本。如果您使用自定义 SSL 证书和 SNI,则必须使用 TLSv1 或更高版本。
要选择安全策略,请为 安全策略 指定合适的值。下表列出了每个安全策略中,CloudFront 可用的协议和密码。
查看器至少必须支持这些支持的密码中的一个,才能与 CloudFront 建立 HTTPS 连接。如果在 AWS Certificate Manager 中使用 SSL/TLS 证书,查看器必须支持 *-RSA-* 密码之一。CloudFront 按列出的顺序从查看器支持的密码中选择一种密码。另请参阅 OpenSSL 和 RFC 密码名称。
| 安全策略 | |||||
|---|---|---|---|---|---|
| SSLv3 | TLSv1.0 | TLSv1_2016 | TLSv1.1_2016 | TLSv1.2_2018 | |
| 支持的 SSL/TLS 协议 | |||||
| TLSv1.2 | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLSv1.1 | ♦ | ♦ | ♦ | ♦ | |
| TLSv1 | ♦ | ♦ | ♦ | ||
| SSLv3 | ♦ | ||||
| Ciphers Supported | |||||
| ECDHE-RSA-AES128- GCM-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES128-SHA | ♦ | ♦ | ♦ | ♦ | |
| ECDHE-RSA-AES256- GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ |
| ECDHE-RSA-AES256-SHA | ♦ | ♦ | ♦ | ♦ | |
| AES128-GCM-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES256-GCM-SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES128-SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ |
| AES256-SHA | ♦ | ♦ | ♦ | ♦ | |
| AES128-SHA | ♦ | ♦ | ♦ | ♦ | |
| DES-CBC3-SHA | ♦ | ♦ | |||
| RC4-MD5 | ♦ | ||||
OpenSSL 和 RFC 密码名称
OpenSSL 和 IETF RFC 5246(传输层安全性 (TLS) 协议版本 1.2)为相同的密码使用不同的名称。下表为每个密码列出了 OpenSSL 名称及对应的 RFC 名称。
| OpenSSL 密码名称 | RFC 密码名称 |
|---|---|
|
ECDHE-RSA-AES128- GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
ECDHE-RSA-AES256- GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
|
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
|
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
|
RC4-MD5 |
TLS_RSA_WITH_RC4_128_MD5 |
适用于 CloudFront 和源之间的通信且支持的 SSL/TLS 协议和密码
如果您选择要求在 CloudFront 和源之间使用 HTTPS,您可以决定安全连接允许使用哪个 SSL/TLS 协议,然后为 CloudFront 选择任何支持的密码(参阅下表)以建立到源的 HTTPS 连接。
CloudFront 可使用本节中列出的 ECDSA 或 RSA 密码将 HTTPS 请求转发到源服务器。源服务器至少必须支持这些密码中的其中一个,才能使 CloudFront 与源建立 HTTPS 连接。要了解 CloudFront 支持的两种类型的密码的更多信息,请参阅 关于 RSA 和 ECDSA 密码。
注意
基于椭圆曲线的密码支持以下曲线:
-
prime256v1
-
secp384r1
OpenSSL 和 IETF RFC 5246(传输层安全性 (TLS) 协议版本 1.2)为相同的密码使用不同的名称。下表为每个密码列出了 OpenSSL 名称及对应的 RFC 名称。
支持的 RSA 密码
CloudFront 支持使用以下 RSA 密码来连接源:
| OpenSSL 密码名称 | RFC 密码名称 |
|---|---|
|
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
|
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
|
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
|
RC4-MD5 |
TLS_RSA_WITH_RC4_128_MD5 |
支持的 ECDSA 密码
CloudFront 支持使用以下 ECDSA 密码来连接源:
| OpenSSL 密码名称 | RFC 密码名称 |
|---|---|
|
ECDHE-ECDSA-AES256- GCM-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
ECDHE-ECDSA-AES256-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
ECDHE-ECDSA-AES256-SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
ECDHE-ECDSA-AES128- GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
ECDHE-ECDSA-AES128-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
ECDHE-ECDSA-AES128-SHA |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |