Amazon CloudFront annonce la prise en charge de la révocation OCSP pour Mutual TLS (Viewer)
Amazon CloudFront prend désormais en charge la vérification de révocation du protocole OCSP (Online Certificate Status Protocol) pour les mTL des utilisateurs, ce qui vous permet de valider l’état de révocation des certificats clients en temps réel lors de l’établissement de la connexion. Cela permet aux clients qui utilisent le protocole TLS mutuel (mTLS) sur CloudFront de vérifier que les certificats clients n’ont pas été révoqués avant d’accepter les connexions, une exigence courante pour les secteurs réglementés et les architectures Zero Trust.
Auparavant, les clients implémentaient la révocation des certificats à l’aide des Fonctions CloudFront et de KeyValueStore, en maintenant des listes de révocation statiques qui n’étaient à jour que lors de la dernière mise à jour manuelle. Avec OCSP, CloudFront interroge l’URL du répondeur intégrée au certificat client au moment de la connexion, validant ainsi l’état de révocation directement auprès de l’autorité de certification émettrice. CloudFront met en cache les réponses OCSP pendant 30 minutes maximum afin de minimiser l’impact de la latence sur les connexions suivantes. Le résultat OCSP est exposé dans la fonction de connexion, ce qui permet aux clients de mettre en œuvre une logique personnalisée, telle que des délais de grâce pour la rotation des certificats, des exceptions basées sur IP ou la combinaison de l’OCSP avec leurs propres listes de révocation.
La vérification de révocation OCSP pour les mTL des visualiseurs est disponible sans frais supplémentaires. Pour en savoir plus, consultez la documentation relative à CloudFront Mutual TLS (spectateur).