У меня проблема со сшиванием CloudFront и OCSP.
Я ожидаю получить сшивание OCSP за каждый запрос на мой сайт, размещенный на S3 + CloudFront. Это требуется по проекту.
В ходе исследования я обнаружил этот сайт с похожим вопросом и цитатой из документации:
Когда CloudFront получает много HTTPS запрашивает один и тот же домен, каждый сервер в пограничном местоположении вскоре получает ответ от CA, что он может «сшить» пакет в рукопожатии SSL
Как я понимаю:
- Сшивание OCSP работает с доменом по умолчанию и НЕ работает с пользовательским доменом, пока не получит некоторое (неизвестное) количество запросов;
- Сшивание OCSP включается автоматически.
Здесь я вижу возможные, но не удобные решения:
- Создайте лямбда-функцию для «ответа зрителя» и используйте ее для ручного сшитого ответа;
- Создайте EC2 с помощью Nginx и используйте Предоставляемое им сшивание OCSP (миграция с CloudFront).
Существует ли более простой способ принудительного сшивания OCSP для CloudFront?