User's blog

Amazon CloudFront passa a suportar verificação de revogação OCSP para mTLS (Viewer)

Written by

Make.com Service User

in

O que mudou no CloudFront

A AWS anunciou suporte à verificação de revogação via Protocolo de Status de Certificado Online (OCSP — Online Certificate Status Protocol) para o mTLS (TLS Mútuo) do lado do viewer no Amazon CloudFront. Com essa novidade, o CloudFront passa a validar em tempo real, durante o estabelecimento da conexão, se o certificado do cliente foi revogado — sem depender de listas estáticas mantidas manualmente.

Por que isso importa

Em arquiteturas de confiança zero (zero-trust) e em setores regulados, garantir que apenas certificados válidos e não revogados estabeleçam conexões é um requisito fundamental. Antes desse suporte nativo, quem usava mTLS no CloudFront precisava implementar essa verificação de forma manual, usando CloudFront Functions combinadas com o KeyValueStore para manter listas de revogação estáticas. O problema evidente dessa abordagem: a lista só era tão atual quanto a última atualização manual — uma janela de risco considerável.

Como funciona a verificação OCSP no CloudFront

Com o suporte nativo ao OCSP, o CloudFront passa a consultar diretamente a URL do respondedor OCSP embutida no próprio certificado do cliente no momento da conexão. Essa consulta é feita junto à Autoridade Certificadora (CA — Certificate Authority) emissora, validando o status de revogação de forma dinâmica e em tempo real.

Para evitar impacto na latência das conexões subsequentes, o CloudFront armazena em cache as respostas OCSP por até 30 minutos.

Flexibilidade para lógica customizada

O resultado da verificação OCSP fica disponível na connection function do CloudFront, o que permite implementar lógica personalizada a partir desse dado. Entre os casos de uso possíveis, a AWS cita:

  • Períodos de carência durante a rotação de certificados;
  • Exceções baseadas em endereço IP;
  • Combinação do resultado OCSP com listas de revogação próprias.

Disponibilidade e custo

A verificação de revogação OCSP para mTLS do viewer está disponível sem custo adicional. Para saber mais sobre como configurar esse recurso, a AWS disponibiliza a documentação oficial do CloudFront Mutual TLS (Viewer).

Fonte

Amazon CloudFront announces support for OCSP Revocation for Mutual TLS (Viewer) (https://aws.amazon.com/about-aws/whats-new/2026/05/amazon-cloudfront-mtls-ocsp/)

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts