[新产品/新功能] Amazon CloudFront 现已支持 TLS 1.3 源站连接

**发布时间:** 2025-11-20 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-tls13-origin --- <!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] Amazon CloudFront 现已支持 TLS 1.3 源站连接 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 Amazon CloudFront 现已支持使用 **TLS 1.3** 协议连接到其源站。这项新功能旨在通过采用最新的传输层安全协议，增强 CloudFront 边缘节点与客户源服务器（如自定义源、**Amazon S3**、**Application Load Balancer**）之间通信的安全性与性能。 其技术原理在于，**TLS 1.3** 协议通过简化加密握手流程和移除过时的加密算法，来降低延迟并提升安全性。当 CloudFront 连接源站时，会自动协商使用 **TLS 1.3**（如果源站支持），同时保持对旧版 **TLS** 协议的向后兼容性，确保服务的平滑过渡。此功能默认启用，无需用户进行任何配置。 该功能主要面向对数据传输安全性和性能有高要求的用户群，特别是处理敏感信息的金融服务、医疗保健和电子商务等行业的应用。它巩固了 CloudFront 作为高性能、高安全性内容分发网络（CDN）的市场定位。 ## 关键客户价值 - **增强数据传输安全性** - **TLS 1.3** 协议移除了多个存在已知漏洞的过时加密套件（如 RC4, 3DES）和哈希算法（如 MD5, SHA-1），强制使用支持**前向保密 (Forward Secrecy)** 的现代加密算法。这意味着即使服务器的长期私钥泄露，也无法解密过去的通信数据，为源站和边缘节点之间传输的数据提供了更强的保护。 - **显著提升连接性能** - 通过将建立安全连接所需的网络往返次数（RTT）从两次减少到一次，**TLS 1.3** 显著缩短了 **TLS 握手** 的延迟。原文指出，当源站支持该协议时，连接性能提升可达 *30%*。这能加快从源站获取内容的速度，从而降低终端用户的访问延迟，改善整体用户体验。 - **实现零配置、无缝升级** - 该功能对所有 CloudFront 用户自动启用，无需任何手动配置或代码修改。CloudFront 的自动协议协商机制确保了与各类源站的兼容性，无论源站是否已升级到 **TLS 1.3**，都能正常工作。这种无感知的升级方式极大地降低了客户采用新技术的门槛和运维成本。 - **无额外成本** - 在所有 CloudFront 边缘节点上启用对源站的 **TLS 1.3** 支持不收取任何额外费用，客户可以免费获得更高级别的安全性和性能优化。 ## 关键技术洞察 - **优化的 1-RTT 握手机制** - _**TLS 1.3** 的核心性能优势来自于其简化的握手流程_。相较于 **TLS 1.2** 需要两次网络往返来完成密钥协商，**TLS 1.3** 将其优化为仅需一次往返（1-RTT）。这一改进从根本上减少了建立安全连接所需的时间，对于高延迟网络环境下的性能提升尤为明显。 - **强制性的现代加密标准** - 该协议在设计上强制使用更安全的 **AEAD（Authenticated Encryption with Associated Data）** 加密模式，如 **AES-GCM**，同时提供了对 **ChaCha20-Poly1305** 的支持。这不仅提升了加密强度，也简化了密码套件的选择，减少了因配置不当而引入安全风险的可能性。 - **智能的向后兼容协议协商** - CloudFront 的实现包含了智能的协议协商逻辑。在与源站建立连接的 `ClientHello` 消息中，CloudFront 会表明其支持的最高协议版本为 **TLS 1.3**。如果源站支持，则会以 **TLS 1.3** 进行响应；如果源站不支持，系统会自动降级到双方共同支持的最高版本（如 **TLS 1.2**），从而确保了服务的广泛兼容性和高可用性。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # Amazon CloudFront 现已支持与源站建立 TLS 1.3 连接 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-tls13-origin](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-cloudfront-tls13-origin) **发布时间:** 2025-11-20 **厂商:** AWS **类型:** WHATSNEW --- # Amazon CloudFront 现已支持与源站建立 TLS 1.3 连接 发布于: 2025年11月20日 Amazon CloudFront 现已支持在连接到您的源站时使用 TLS 1.3，为源站通信提供了更高的安全性和更优的性能。此次升级提供了更强的加密算法、更低的握手延迟，并为 CloudFront 边缘站点 (edge locations) 与您的源服务器 (origin servers) 之间的数据传输带来了更好的整体安全态势。所有源类型，包括自定义源、Amazon S3 和应用程序负载均衡器 (Application Load Balancers)，都已自动启用 TLS 1.3 支持，您无需进行任何配置更改。 当您的源站支持 TLS 1.3 时，它通过减少握手过程中的往返次数来加快连接建立速度，可将连接性能提升高达 30%。当您的源站支持 TLS 1.3 时，CloudFront 会自动协商使用该版本，同时为尚未升级的源站保留对较低 TLS 版本的向后兼容性。这项增强功能特别适用于需要高安全标准的应用，例如处理敏感数据的金融服务、医疗保健和电子商务平台。 在所有 CloudFront 边缘站点，与源站连接的 TLS 1.3 支持均免费提供。要了解有关 CloudFront 源站 TLS 的更多信息，请参阅 [Amazon CloudFront 开发人员指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-ciphers-cloudfront-to-origin.html) 。 <!-- AI_TASK_END: AI全文翻译 -->