Amazon CloudFront, 상호 TLS(뷰어)에 대한 OCSP 해지 지원 발표

게시된 날짜: 2026년 5월 14일

Amazon CloudFront는 이제 뷰어 mTLS에 대한 온라인 인증서 상태 프로토콜(OCSP) 해지 확인을 지원하므로 연결 설정 중에 클라이언트 인증서 해지 상태를 실시간으로 확인할 수 있습니다. 그래서 CloudFront에서 상호 TLS(mTLS)를 사용하는 고객은 연결을 수락하기 전에 클라이언트 인증서가 해지되지 않았는지 확인할 수 있습니다. 이는 규제 산업과 제로 트러스트 아키텍처에서 일반적으로 요구되는 사항입니다.

이전에는 고객이 CloudFront Functions와 KeyValueStore를 사용하여 인증서 해지를 구현하여 마지막 수동 업데이트와 동일한 시점까지만 최신 상태였던 정적 해지 목록을 유지했습니다. OCSP를 사용하면 CloudFront는 연결 시 클라이언트 인증서에 포함된 응답자 URL을 쿼리하여 발급 인증 기관에서 직접 해지 상태를 검증합니다. CloudFront는 후속 연결에 미치는 지연 시간 영향을 최소화하기 위해 OCSP 응답을 최대 30분 동안 캐시합니다. OCSP 결과는 연결 함수에 노출되므로 고객은 인증서 갱신 유예 기간, IP 기반 예외 처리 또는 OCSP와 자체 해지 목록의 결합과 같은 사용자 지정 로직을 구현할 수 있습니다.

뷰어 mTLS에 대한 OCSP 해지 확인은 추가 비용 없이 사용할 수 있습니다. 자세한 내용은 CloudFront 상호 TLS(뷰어) 설명서를 참조하세요.