Amazon CloudFront가 이제 뷰어 mTLS를 위한 OCSP(Online Certificate Status Protocol) 폐기 확인을 지원합니다. 이를 통해 연결 설정 중에 실시간으로 클라이언트 인증서의 폐기 상태를 검증할 수 있습니다. CloudFront에서 상호 TLS(mTLS)를 사용하는 고객은 연결을 허용하기 전에 클라이언트 인증서가 폐기되지 않았는지 확인할 수 있으며, 이는 규제 대상 산업 및 제로 트러스트 아키텍처에서 흔히 요구되는 사항입니다.
이전에는 고객이 CloudFront Functions와 KeyValueStore를 사용하여 인증서 폐기를 구현해야 했으며, 마지막 수동 업데이트 시점까지만 유효한 정적 폐기 목록을 유지해야 했습니다. OCSP를 사용하면 CloudFront는 연결 시점에 클라이언트 인증서에 포함된 응답자(responder) URL을 쿼리하여, 발급 인증 기관(CA)을 통해 직접 폐기 상태를 검증합니다. CloudFront는 후속 연결에 대한 지연 시간 영향을 최소화하기 위해 OCSP 응답을 최대 30분 동안 캐싱합니다. OCSP 결과는 연결 함수(connection function)에 노출되므로, 고객은 인증서 교체를 위한 유예 기간 설정, IP 기반 예외 처리 또는 OCSP를 자체 폐기 목록과 결합하는 등의 사용자 정의 로직을 구현할 수 있습니다.
뷰어 mTLS를 위한 OCSP 폐기 확인은 추가 비용 없이 이용 가능합니다. 자세한 내용은 CloudFront 상호 TLS(Viewer) 설명서를 참조하세요.