Amazon CloudFront anuncia la compatibilidad con la revocación del OCSP para TLS mutua (visualizador)
Amazon CloudFront ahora admite la verificación de revocación del Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para mTLS de visualizador, lo que le permite validar el estado de revocación del certificado del cliente en tiempo real durante el establecimiento de la conexión. Esto permite a los clientes que utilizan TLS mutua (mTLS) en CloudFront verificar que los certificados de los clientes no se hayan revocado antes de aceptar las conexiones, un requisito común para las industrias reguladas y las arquitecturas de confianza cero.
Anteriormente, los clientes implementaban la revocación de certificados mediante CloudFront Functions y KeyValueStore, manteniendo listas de revocación estáticas que estaban igual de actualizadas que la última actualización manual. Con el OCSP, CloudFront consulta el URL del contestador incrustada en el certificado del cliente al momento de la conexión y valida el estado de revocación directamente con la autoridad de certificación emisora. CloudFront almacena en caché las respuestas del OCSP durante un máximo de 30 minutos para minimizar el impacto de la latencia en las conexiones posteriores. El resultado del OCSP se expone en la función de conexión, lo que permite a los clientes implementar una lógica personalizada, como los períodos de gracia para la rotación de certificados, las excepciones basadas en IP o la combinación de OCSP con sus propias listas de revocación.
La verificación de revocación del OCSP para mTLS de visualizador está disponible sin costo adicional. Para obtener más información, consulte la documentación de TLS mutua de CloudFront (visualizador).