Novo algoritmo de hash para assinatura de conteúdo
A AWS anunciou o suporte para SHA-256 (Secure Hash Algorithm-256) como algoritmo de hash no Amazon CloudFront, expandindo as opções de segurança para a assinatura de URLs e cookies. Essa adição representa um avanço importante na postura de segurança da plataforma, alinhando-se com os padrões criptográficos modernos e oferecendo proteção mais robusta contra colisões de hash.
Anteriormente, o CloudFront utilizava exclusivamente SHA-1 para gerar assinaturas em URLs e cookies assinados. O SHA-256 oferece maior força criptográfica e é amplamente reconhecido como o padrão contemporâneo para operações de assinatura digital.
Implementação e compatibilidade
A implementação do SHA-256 no CloudFront foi desenvolvida mantendo total retrocompatibilidade com as configurações existentes. URLs e cookies assinados que não especificam um algoritmo de hash continuam utilizando SHA-1, permitindo uma transição suave para quem desejar migrar.
Para utilizar SHA-256, é necessário incluir o parâmetro Hash-Algorithm=SHA256 na URL assinada, ou o atributo de cookie CloudFront-Hash-Algorithm=SHA256 para cookies assinados. Essa abordagem simples permite que os usuários adotem o novo padrão conforme suas necessidades operacionais.
Benefícios de conformidade e segurança
O suporte a SHA-256 atende aos requisitos de segurança e conformidade que exigem explicitamente o uso desse algoritmo para assinaturas digitais. Muitas organizações, especialmente em setores regulados, já mandatam o uso de SHA-256 em suas políticas de segurança da informação.
Além disso, a mudança contribui para future-proofing dos fluxos de trabalho de entrega de conteúdo, preparando as aplicações para padrões que tendem a ser cada vez mais exigentes em relação a práticas criptográficas.
Disponibilidade e custo
Este recurso está disponível em todas as localizações de borda onde o Amazon CloudFront opera. Importante: não há custo adicional para utilizar a assinatura com SHA-256.
Para aprofundar-se na implementação, a AWS oferece documentação técnica detalhada. Consulte como criar uma URL assinada utilizando uma política enlatada ou como configurar cookies assinados utilizando uma política enlatada no Guia de Desenvolvedor do Amazon CloudFront.
Fonte
Amazon CloudFront now supports SHA-256 for signed URLs and signed cookies (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-cloudfront-sha-256-signed-urls/)
Leave a Reply