Vamos criptografar com o Amazon S3

A resposta para a pergunta vem em duas partes.

Primeiro, porém, usar "Let's Encrypt" não é realmente relevante para a pergunta: é uma autoridade de certificação (CA). Ele emite certificados SSL (TLS), assim como todos os outros, exceto que, aparentemente, só emitirá certificados de validação de domínio (DV) e esses certificados aparentemente serão emitidos sem custo. Mas esses dois últimos pontos (embora interessantes) também não são relevantes para a questão.

Então, "posso usar um certificado SSL do Let's Encrypt em um site estático hospedado no S3?" não é a pergunta correta a ser feita. A única pergunta é "posso usar o HTTPS para meu domínio, com um certificado que eu forneço, no meu site estático hospedado no S3?"

Primeira resposta: Não.

The website endpoints do not support https.

http://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteEndpoints.html

Segunda resposta: Sim.

Como?

CloudFront na frente do S3. Você pode configurar uma distribuição do CloudFront apontando para o nome do host do site do bucket como origem "Personalizada", carregar o novo certificado SSL no CloudFront e alterar o DNS para apontar para o CloudFront em vez de diretamente para o intervalo.

Esta é a única solução que usa componentes gerenciados pela AWS para "instalar" seu próprio certificado SSL para seu próprio domínio em um site estático hospedado no S3. O serviço S3 não suporta isso diretamente, não com certificados Vamos Criptografar, ou certificados de qualquer outra autoridade de certificação.

Você pode armazenar arquivos do seu site no S3, mas para publicá-lo você precisa usar o CloudFront. Além disso, você poderá selecionar um certificado personalizado que precisará carregar no armazenamento de certificados do AWS IAM. Como enviar um certificado de servidor personalizado: link

Você pode criar seu próprio certificado ssl usando o OpenSSL e aplicá-lo por meio da configuração do apache (supondo que esteja usando o apache). No entanto, tenha em atenção que os certificados e https criados internamente tornam efetivamente todos os navegadores uma advertência ao utilizador de que o seu site pode estar "inseguro" ou "comprometido" ao utilizar o certificado nacional. Você poderia obter um certificado SSL de uma autoridade de certificação, embora isso tenha uma reviravolta e normalmente custasse uma certa quantia de dinheiro.

Pelo que entendi, o sistema para criptografia requer que você forneça uma prova de que você controla o site escrevendo um arquivo json contendo um nonce em um local bem conhecido. Feito isso, seu agente tem uma chave que pode ser usada para atualizar o certificado SSL. O agente deve conseguir gravar o certificado no local certo de alguma forma, mas não acredito que tenha que ser executado na máquina que serve o site.

Assim, você pode fazer com que o agente o grave em um local que você ocasionalmente verifica em algum script que usa as chamadas corretas da API da Amazon para atualizar o certificado. É provavelmente possível que o agente chame esse script diretamente.

Disclaimer: Eu realmente não olhei para criptografar em detalhes; isso é exatamente o que eu compreendi da documentação do "como funciona".

Primeira pergunta - > Não.

Segunda pergunta - > Há a opção de adicionar outro serviço como o CloudFront na frente do S3, mas você ainda precisa obter o certificado (o CloudFront não fará isso por você). Existem algumas ferramentas e serviços que ajudarão você a obter o certificado Let's Encrypt (LE), mas não é uma solução de um clique. Ainda é um pouco incômodo. Mas existem outros serviços que você pode colocar na frente do S3 e eles oferecem Um clique em LE integração onde você não precisa lidar com certificados em tudo (eles vão fazer isso por você).