Amazon CloudFront kündigt Unterstützung für OCSP-Widerruf für gegenseitiges TLS (Viewer) an
Amazon CloudFront unterstützt jetzt die OCSP-Widerrufsprüfung (Online Certificate Status Protocol) für Viewer mTLS, sodass Sie den Widerrufsstatus von Client-Zertifikaten beim Verbindungsaufbau in Echtzeit überprüfen können. Auf diese Weise können Kunden, die gegenseitiges TLS (mTLS) auf CloudFront verwenden, überprüfen, ob Client-Zertifikate nicht widerrufen wurden, bevor sie Verbindungen akzeptieren – eine häufige Anforderung für regulierte Branchen und Zero-Trust-Architekturen.
Bisher implementierten Kunden den Widerruf von Zertifikaten mithilfe von CloudFront-Funktionen und KeyValueStore, wobei statische Widerrufslisten verwaltet wurden, die nur so aktuell waren wie das letzte manuelle Update. Mit OCSP fragt CloudFront die Responder-URL ab, die zum Zeitpunkt der Verbindung in das Client-Zertifikat eingebettet ist, und überprüft den Widerrufsstatus direkt bei der ausstellenden Zertifizierungsstelle. CloudFront speichert OCSP-Antworten für bis zu 30 Minuten im Cache, um die Auswirkungen der Latenz auf nachfolgende Verbindungen zu minimieren. Das OCSP-Ergebnis wird in der Verbindungsfunktion angezeigt, sodass Kunden benutzerdefinierte Logik implementieren können, z. B. Kulanzfristen für die Zertifikatsrotation, IP-basierte Ausnahmen oder die Kombination von OCSP mit ihren eigenen Widerrufslisten.
Die OCSP-Widerrufsprüfung für Viewer mTLS ist ohne zusätzliche Kosten verfügbar. Weitere Informationen finden Sie in der Dokumentation zu CloudFront gegenseitiges TLS (Viewer).