Amazon CloudFront объявляет о поддержке отзыва OCSP для протокола Mutual TLS (для клиентов)
Amazon CloudFront теперь поддерживает проверку отзыва Online Certificate Status Protocol (OCSP) для mTLS для клиентов, что позволяет проверять статус отзыва клиентского сертификата в реальном времени во время установления соединения. Это дает возможность клиентам, использующим протокол Mutual TLS (mTLS) в CloudFront, проверять, не были ли сертификаты клиентов отозваны, прежде чем принимать подключения, – обычное требование для регулируемых отраслей и архитектур с нулевым доверием.
Ранее клиенты осуществляли отзыв сертификатов с помощью Функций CloudFront и KeyValueStore, сохраняя статические списки отзыва, которые были актуальны только на момент последнего обновления вручную. С помощью OCSP CloudFront запрашивает URL-адрес отвечающей стороны, внедренный в клиентский сертификат, во время подключения и проверяет статус отзыва непосредственно в выдавшем его центре сертификации. CloudFront кеширует ответы OCSP на срок до 30 минут, чтобы свести к минимуму задержки при последующих подключениях. Результат OCSP доступен в функции подключения, что позволяет клиентам использовать собственную логику, например льготные периоды ротации сертификатов или исключения на основе IP-адресов, а также комбинировать OCSP с собственными списками отзыва.
Проверка отзыва OCSP для mTLS для клиентов доступна без дополнительной оплаты. Подробнее см. в документации по CloudFront Mutual TLS (для клиентов).