Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/ssl/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Amazon web services AWS CloudFront OCSP装订机_Amazon Web Services_Ssl_Aws Lambda_Amazon Cloudfront - Fatal编程技术网
Fatal编程技术网

Amazon web services AWS CloudFront OCSP装订机

amazon-web-services ssl aws-lambda

Amazon web services AWS CloudFront OCSP装订机,amazon-web-services,ssl,aws-lambda,amazon-cloudfront,Amazon Web Services,Ssl,Aws Lambda,Amazon Cloudfront,CloudFront和OCSP装订有问题 我希望对S3+CloudFront上托管的我的站点的每个请求进行OCSP绑定。 这是设计所要求的 在研究过程中,我发现了类似的问题,并引用了文件中的这句话: 当CloudFront接收到同一域的大量HTTPS请求时,边缘位置的每台服务器都会很快收到CA的响应,它可以“装订”到SSL握手中的数据包 据我了解: OCSP绑定与默认域一起工作,在收到一些(未知)数量的请求之前,不会与自定义域一起工作 OCSP装订将自动打开 我在这里看到了可能但不方便的解决

CloudFront和OCSP装订有问题

我希望对S3+CloudFront上托管的我的站点的每个请求进行OCSP绑定。 这是设计所要求的

在研究过程中,我发现了类似的问题,并引用了文件中的这句话:

当CloudFront接收到同一域的大量HTTPS请求时,边缘位置的每台服务器都会很快收到CA的响应,它可以“装订”到SSL握手中的数据包

据我了解:

  • OCSP绑定与默认域一起工作,在收到一些(未知)数量的请求之前,不会与自定义域一起工作
  • OCSP装订将自动打开
我在这里看到了可能但不方便的解决方案:

  • 为“查看器响应”创建lambda函数,并将其用于手动装订响应
  • 使用Nginx创建EC2并使用它提供的OCSP绑定(从CloudFront迁移)
有没有更简单的方法来强制CloudFront的OCSP装订?

没有。有两个问题,1。CloudFront中的OCSP装订是基于每个边缘位置的,没有集中化,因此如果请求连接到不同的边缘位置,则不会得到装订响应,2。如果装订响应的缓存过期,则不会进行预取。您可以尝试CloudFlare:不,有两个问题,1。CloudFront中的OCSP装订是基于每个边缘位置的,没有集中化,因此如果请求连接到不同的边缘位置,则不会得到装订响应,2。如果装订响应的缓存过期,则不会进行预取。您可以尝试CloudFlare: