Amazon CloudFront が相互 TLS (ビューワー) の OCSP 取り消しのサポートを発表

投稿日: 2026年5月14日

Amazon CloudFront は、ビューワーとの mTLS 認証におけるオンライン証明書ステータスプロトコル (OCSP) による失効チェックに対応しました。これにより、接続確立中にクライアント証明書の失効ステータスをリアルタイムで検証できるようになります。これにより、CloudFront で相互 TLS (mTLS) を使用しているお客様は、接続を受け入れる前にクライアント証明書が失効していないことを確認できるようになり、これは、規制の厳しい業界やゼロトラストアーキテクチャにおいて一般的な要件を満たすものとなります。

従来、お客様は CloudFront Functions と KeyValueStore を組み合わせて証明書の失効チェックを実装しており、手動で最後に更新された時点の静的な失効リストを維持管理する必要がありました。OCSP に対応したことにより、CloudFront は接続時にクライアント証明書に埋め込まれているレスポンダー URL を照会し、発行元の認証局と直接、失効ステータスを検証します。CloudFront は OCSP レスポンスを最大 30 分間キャッシュして、以降の接続へのレイテンシーの影響を最小限に抑えます。 OCSP の結果は接続関数内で参照できるため、お客様は証明書ローテーションの猶予期間の設定、IP ベースの例外処理、OCSP と独自の失効リストとの組み合わせといった、カスタムロジックを実装することが可能です。

ビューワー mTLS の OCSP 失効チェックは、追加料金なしで利用できます。 詳細については、CloudFront 相互 TLS (ビューワー) のドキュメントを参照してください。