我在 Amazon S3 上设置了一个静态网站。我还想为我的自定义域名设置 SSL 证书,所以我还必须设置 ACM + Cloudfront。这工作正常(Cloudfront 和客户端之间的连接是加密的),但有一个细节让我很烦恼:Cloudfront 和 S3 之间的连接是通过纯 HTTP 进行的。这是因为显然 S3网络端点不支持 HTTPS。REST 端点支持,但我似乎无法使用它,因为它会破坏我网站的干净 URL(例如参见https://stackoverflow.com/questions/22740084/amazon-s3-redirect-and-cloudfront)
我的问题是:Cloudfront 和 S3 真的不能通过 HTTPS 进行通信吗?如果不能,攻击者可以在 Cloudfront 和 S3 之间进行 MITM 攻击吗?我的网站并不是在进行金融交易,但 HTTPS 仅在“前端”起作用仍然很烦人。
答案1
我相信 CloudFront 使用私有 AWS 网络连接到 S3,因此风险相对较低。我会确保您阻止公共存储桶访问并使用原始访问身份,这可能会确保足够的安全性。
我看不出这里如何进行 MITM 攻击,但我也要说这不是我有丰富经验的领域。对其他人的意见感兴趣。
这一页确认网站端点不支持 https。