Não www para www com balanceador de carga https e AWS

1

minha empresa comprou um domínio há algum tempo na empresa X (Gandi, para ser específico).

Nosso objetivo hoje é veicular um website por meio de um URL exclusivo: https://www.example.com .

Então, devemos fazer os seguintes redirecionamentos:

http://example.com -> https://www.example.com
http://www.example.com -> https://www.example.com
https://example.com -> https://www.example.com

Aqui está um desenho rápido que fiz para descrever nossa arquitetura:

Comovocêpodever,temosumbalanceadordecargaentrenossainstânciadoEC2enossosusuáriosparalidarcomnossocertificadoSSL.

Oproblemaé:achoqueobalanceadordecargasópodeseracessadopormeiodeumaentradaCNAME.EnãoconsigoconfigurarumaentradaCNAMEparaodomínioraiz.

OredirecionamentodenãowwwparawwwéfeitononívelEC2.Então,tudofuncionamuitobemparahttp://example.comehttp://www.example.com:

Eu não posso fazer o mesmo com https://example.com porque não há certificado na instância do EC2 e o usuário teria um alerta de segurança dizendo que o certificado é inválido.

Como posso sair dessa loucura?

Possíveis soluções eu vim com:

  • Transferir meu domínio da empresa X para a Amazon. Não gosto dessa solução porque gosto da empresa X e tenho medo de transferir o domínio.
  • Gere um certificado gratuito para minha instância do EC2 para fazer o redirecionamento. Eu não gosto desta solução porque me faz manter dois certificados.

Obrigado a todos por suas dicas!

    
por Hammerbot 25.09.2018 / 10:34

2 respostas

1

Plano de fundo - rota 53

Você não precisa transferir seu domínio para a AWS, mas uma coisa que pode ajudar é usar o serviço DNS do AWS Route53. Ele tem o conceito de um " registro de alias ". Esse tipo de registro funciona como um CNAME e pode funcionar na raiz do domínio. Isso é muito útil quando você está usando balanceadores de carga do AWS.

Isso não resolverá seu problema exatamente. Você ainda precisa ter um certificado válido para o domínio não www e ainda precisa emitir um redirecionamento. Pode fazer parte de uma solução embora.

O R53 é bastante barato - US $ 0,50 por mês e US $ 0,40 por milhão de consultas.

Solução - Certificado SAN

Outra opção é ter um certificado que inclua seu nome de domínio www e não www. Isso é chamado de Subject Alternative Name (SAN) e é trivial de se fazer. Vamos criptografar estes e eles são gratuitos. Dessa forma, você pode fazer com que seu servidor EC2 redirecione o link - > link

Juntando

Suspeito que, ao usar um registro de alias e alterar seus certificados, você pode fazer com que o balanceador de carga ou a Cloudfront faça o redirecionamento para você. Isso salva a instância do EC2, e é um pouco mais rápido.

    
por 25.09.2018 / 11:03
0

Cloudflare oferece "alias do apex" e é gratuito, estou usando para alguns domínios, funciona muito bem. Então toda a configuração que você pode fazer em CloudFlare, SSL, HTTPS automático, redirecionamentos etc ...

Se o CF não for uma opção, configure seus servidores de nomes para Route53 e use o registro Alias.

No AWS AppLoadbalancer, você tem a opção de reescrever não www para www ou http para https e enviar tráfego para suas instâncias.

    
por 25.09.2018 / 14:17