Amazon CloudFront annuncia il supporto per la revoca OCSP per il TLS reciproco (visualizzatore)
Amazon CloudFront ora supporta il controllo della revoca tramite Protocollo OCSP (Online Certificate Status Protocol) per l'mTLS del visualizzatore, consentendo di convalidare lo stato di revoca del certificato client in tempo reale durante la creazione della connessione. Ciò consente ai clienti che utilizzano il protocollo TLS reciproco (mTLS) su Amazon CloudFront di verificare che i certificati client non siano stati revocati prima di accettare le connessioni, un requisito comune per i settori regolamentati e le architetture zero-trust.
In precedenza, i clienti implementavano la revoca dei certificati utilizzando CloudFront Functions e KeyValueStore, mantenendo elenchi di revoca statici che erano aggiornati solo in base all'ultimo aggiornamento manuale. Con OCSP, CloudFront interroga l'URL del responder integrato nel certificato client al momento della connessione, convalidando lo stato di revoca direttamente con l'autorità di certificazione emittente. CloudFront memorizza nella cache le risposte OCSP fino a 30 minuti per ridurre al minimo l'impatto della latenza sulle connessioni successive. Il risultato OCSP viene esposto nella funzione di connessione, consentendo ai clienti di implementare logiche personalizzate, come periodi di tolleranza per la rotazione dei certificati, eccezioni basate su IP o la combinazione di OCSP con i propri elenchi di revoca.
Il controllo della revoca OCSP per l'mTLS del visualizzatore è disponibile senza costi aggiuntivi. Per ulteriori informazioni, consulta la documentazione relativa a CloudFront TLS reciproco (visualizzatore).