O que foi anunciado
A AWS anunciou suporte ao modo passthrough para autenticação de TLS Mútuo (mTLS) no lado do visualizador (viewer) no Amazon CloudFront. Com essa novidade, os clientes podem encaminhar certificados de cliente diretamente para a origem, sem que o CloudFront precise realizar a verificação dos certificados por conta própria.
Por que isso importa
Até então, quem já tinha uma implementação de mTLS consolidada na origem precisava adaptar sua lógica de validação para funcionar na borda (edge) do CloudFront. O modo passthrough resolve exatamente esse atrito: ele permite que organizações continuem usando sua infraestrutura de validação existente, sem precisar replicar ou migrar essa lógica para o CloudFront.
Vale lembrar que o CloudFront para mTLS de visualizador já oferecia dois modos anteriores — o modo obrigatório (required) e o modo opcional (optional) — ambos transferem a autenticação do certificado do cliente para o CloudFront por meio de repositórios de confiança (trust stores). O modo passthrough é uma terceira opção, pensada para quem não quer — ou não pode — configurar esses repositórios no CloudFront.
Como funciona o modo passthrough
No modo passthrough, o CloudFront encaminha todas as requisições para a origem acompanhadas da cadeia de certificados completa do cliente. Alguns pontos importantes sobre esse comportamento:
- Sem cache: o armazenamento em cache não é realizado nesse modo, garantindo que cada requisição seja autenticada de ponta a ponta pela origem.
- Connection functions preservadas: as funções de conexão, que permitem inspecionar ou transformar dados em nível de conexão, continuam sendo invocadas. Isso significa que ainda é possível processar os dados do certificado antes que eles cheguem à origem.
- Sem configuração de trust store: não é necessário configurar nenhum repositório de confiança no CloudFront para usar esse modo.
Disponibilidade e custo
O modo passthrough do CloudFront Mutual TLS (viewer) está disponível sem custo adicional. Para explorar os detalhes técnicos e entender como configurar esse recurso, a AWS disponibiliza a documentação oficial do CloudFront Mutual TLS (Viewer).
Fonte
Amazon CloudFront announces Passthrough Mode for mutual TLS (Viewer) (https://aws.amazon.com/about-aws/whats-new/2026/05/amazon-cloudfront-mtls-passthrough/)
Leave a Reply