La connexion HTTP entre ma distribution CloudFront et l'équilibreur de charge fonctionne, mais la connexion HTTPS échoue. Pourquoi ?

L’échec des communications HTTPS peut être dû à des problèmes liés au certificat SSL associé, aux groupes de sécurité ou à la liste de contrôle d'accès (ACL) réseau. Assurez-vous que votre distribution et votre équilibreur de charge répondent aux exigences de sécurité suivantes :

• Vous devez posséder un certificat SSL valide installé sur l'équilibreur de charge. Si vous obtenez toujours des erreurs HTTPS après avoir installé un certificat SSL, résolvez les problèmes de connexion SSL entre CloudFront et le serveur d'origine personnalisé.
• Si votre distribution CloudFront se connecte à votre équilibreur de charge sur le port 443, les groupes de sécurité associés à votre équilibreur de charge doivent autoriser le trafic sur le port 443 à partir des adresses IP de CloudFront. Pour plus d'informations sur la mise à jour des groupes de sécurité, consultez Configurer des groupes de sécurité pour votre Classic Load Balancer ou Groupes de sécurité de votre équilibreur de charge d'application.
• Les listes ACL réseau associées à l'Amazon Virtual Private Cloud (Amazon VPC) de votre équilibreur de charge doivent autoriser le trafic depuis CloudFront sur les ports HTTPS (généralement, le port 443).

Remarque : les équilibreurs de charge d'application prennent en charge plusieurs certificats TLS avec sélection intelligente à l'aide du protocole SNI (Server Name Indication). Si votre distribution CloudFront effectue une mise en cache basée sur l'en-tête de l'hôte, vérifiez que l'équilibreur de charge d'application possède un certificat TLS configuré avec le même nom. Si tel n'est pas le cas, l'équilibreur de charge d'application propose son certificat par défaut, qui peut ne pas correspondre au SNI associé au message ClientHello de CloudFront.