Amazon CloudFront anuncia suporte à revogação de OCSP para TLS mútuo (visualizador)
O Amazon CloudFront agora oferece suporte à verificação de revogação do Protocolo de Status de Certificado Online (OCSP) para mTLS do visualizador, o que permite validar o status de revogação do certificado do cliente em tempo real durante o estabelecimento da conexão. Isso permite que os clientes que usam TLS mútuo (mTLS) no CloudFront verifiquem se os certificados do cliente não foram revogados antes de aceitarem conexões — um requisito comum para setores regulamentados e arquiteturas de confiança zero.
Anteriormente, os clientes implementavam a revogação de certificados usando o CloudFront Functions e o KeyValueStore, o que mantinha as listas de revogação estáticas que só estavam atualizadas até a última atualização manual. Com o OCSP, o CloudFront consulta o URL do respondedor incorporado no certificado do cliente no momento da conexão, para validar o status de revogação diretamente com a autoridade de certificação emissora. O CloudFront armazena em cache as respostas do OCSP por até 30 minutos para minimizar o impacto da latência nas conexões subsequentes. O resultado do OCSP é exposto na função de conexão, o que permite aos clientes implementar uma lógica personalizada, como períodos de carência para rotação de certificados, exceções baseadas em IP ou combinação do OCSP com suas próprias listas de revogação.
A verificação de revogação do OCSP para mTLS do visualizador está disponível sem custo adicional. Para saber mais, consulte a documentação do TLS mútuo do CloudFront (visualizador).