Amazon CloudFront ประกาศการรองรับการเพิกถอน OCSP สำหรับ Mutual TLS (ฝั่งผู้ใช้)
ขณะนี้ Amazon CloudFront รองรับการตรวจสอบการเพิกถอนด้วยโปรโตคอลสถานะใบรับรองออนไลน์ (OCSP) สำหรับ mTLS ของฝั่งผู้ใช้แล้ว ซึ่งช่วยให้คุณสามารถตรวจสอบสถานะการเพิกถอนของใบรับรองไคลเอ็นต์แบบเรียลไทม์ระหว่างการสร้างการเชื่อมต่อได้ ซึ่งช่วยให้ลูกค้าที่ใช้ Mutual TLS (mTLS) บน CloudFront สามารถตรวจสอบได้ว่าใบรับรองไคลเอ็นต์ไม่ได้ถูกเพิกถอนก่อนยอมรับการเชื่อมต่อ ซึ่งเป็นข้อกำหนดทั่วไปสำหรับอุตสาหกรรมที่มีข้อกำหนดเข้มงวดและสถาปัตยกรรมแบบ Zero Trust
ก่อนหน้านี้ ลูกค้าดำเนินการเพิกถอนใบรับรองโดยใช้ CloudFront Functions และ KeyValueStore ผ่านการดูแลรายการเพิกถอนแบบคงที่ ซึ่งมีความทันสมัยของข้อมูลเพียงเท่ากับการอัปเดตด้วยตนเองครั้งล่าสุดเท่านั้น ด้วย OCSP CloudFront จะสืบค้น Responder URL ที่ฝังอยู่ในใบรับรองไคลเอ็นต์ในช่วงเวลาที่มีการเชื่อมต่อ เพื่อทำการตรวจสอบสถานะการเพิกถอนโดยตรงกับหน่วยงานออกใบรับรอง CloudFront จะทำแคชการตอบกลับ OCSP ไว้นานสูงสุด 30 นาที เพื่อลดผลกระทบด้านเวลาแฝงต่อการเชื่อมต่อครั้งถัดไป ผลลัพธ์ของ OCSP จะเปิดเผยในฟังก์ชันการเชื่อมต่อ ซึ่งช่วยให้ลูกค้าสามารถนำตรรกะแบบกำหนดเองไปใช้งานได้ เช่น ช่วงเวลาผ่อนผันสำหรับการหมุนเวียนใบรับรอง ข้อยกเว้นตาม IP หรือการรวม OCSP เข้ากับรายการเพิกถอนของตนเอง
การตรวจสอบการเพิกถอน OCSP สำหรับ mTLS ของฝั่งผู้ใช้พร้อมใช้งานโดยไม่มีค่าใช้จ่ายเพิ่มเติม หากต้องการเรียนรู้เพิ่มเติม โปรดดูเอกสารประกอบสำหรับ CloudFront Mutual TLS (ฝั่งผู้ใช้)