Amazon CloudFront 宣佈支援對相互 TLS (檢視器) 的 OCSP 撤銷

張貼日期: 2026年5月14日

Amazon CloudFront 現在支援檢視器 mTLS 的線上憑證狀態通訊協定 (OCSP) 撤銷檢查，使您得以在建立連線期間，即時驗證用戶端憑證撤銷狀態。這讓在 CloudFront 上使用相互 TLS (mTLS) 的客戶，能夠於接受連線之前驗證用戶端憑證是否未被撤銷，而這項驗證是受監管產業和零信任架構的常見要求。

先前，客戶會使用 CloudFront Functions 和 KeyValueStore 來實作憑證撤銷，並僅維護與上一次手動更新時相同的靜態撤銷清單。有了 OCSP，CloudFront 會在連線時查詢內嵌在用戶端憑證中的回應器 URL，並直接向核發的憑證授權單位驗證撤銷狀態。CloudFront 最多會快取 OCSP 回應 30 分鐘，以最大限度地減少對後續連線的延遲影響。 OCSP 結果會顯示在連線功能中，使客戶得以實作自訂邏輯，例如憑證輪替的寬限期、IP 型例外，或將 OCSP 與自有的撤銷清單結合。