Amazon CloudFront 宣布支持双向 TLS（查看器）的 OCSP 吊销

发布于: 2026年5月14日

Amazon CloudFront 现已支持针对查看器 mTLS 的在线证书状态协议（OCSP）撤销检查，使您能够在连接建立期间实时验证客户端证书的撤销状态。这使得在 CloudFront 上使用双向 TLS（mTLS）的客户能够在接受连接之前验证客户端证书是否已被撤销，这是受监管行业和零信任架构的常见要求。

此前，客户使用 CloudFront Functions 和 KeyValueStore 实现证书吊销功能，并维护静态吊销列表，这些列表的最新状态仅截至上次手动更新之时。借助 OCSP，CloudFront 会在连接时查询嵌入在客户端证书中的响应程序 URL，直接与颁发证书的证书颁发机构验证吊销状态。CloudFront 会将 OCSP 响应缓存长达 30 分钟，以最大限度地减少对后续连接的延迟影响。 OCSP 的结果会在连接函数中提供，使客户能够实现自定义逻辑，例如证书轮换的宽限期、基于 IP 的例外情况，或将 OCSP 与自己的吊销列表结合使用。