AWSは最近、Amazon CloudFrontがAmazon Route 53、Service Binding (SVCB) DNSレコード (RFC 9460) の特殊な形式でHTTPS DNSエイリアスレコードをサポートするようになったと発表した。
従来、クライアント(例:ブラウザ)はDNSルックアップを行いIPアドレスを取得し、その後サーバーに接続して初めてHTTPプロトコル(HTTP/1.1、HTTP/2、HTTP/3など)のネゴシエーションを行っていた。HTTPSレコードはDNSルックアップでIPアドレスだけでなく、サポートされているプロトコル(例:HTTP/3)、ポート、さらには代替サーバーに関する情報も返すことができ、プロトコルネゴシエーションのための余分なネットワーク・ラウンドトリップを除去し、初期ページロードを高速化する。
(出典:AWS Networking & Content Deliveryブログ投稿)
さらに事前にプロトコルの詳細を提供することでセキュリティが向上し、ダウングレード攻撃を防ぎ、最初から安全な接続を確保できる。さらにCloudFrontエイリアスレコードを使用すると、Route 53はHTTPS DNSクエリを無料で処理し、最も一般的なDNSレコードタイプ:A、AAAA、およびHTTPSに関連するコストを実質的に除去する-このアプローチは費用を最適化するだけでなく、Chrome、Safari、Firefoxなどの主要ブラウザがデフォルトでHTTPSレコードタイプをクエリするため、インターネット接続の効率と安全性を向上させる。
AWS Hero Vadym Kazulkin氏はこの影響を要約し、ツイートした:
これによりユーザーはパフォーマンスとセキュリティを向上させると同時に、運用コストを削減できます。
CloudFrontディストリビューションでHTTP/2および/またはHTTP/3を有効にするには、ユーザーは既存のディストリビューションの設定セクションに移動し(AWS Management Consoleを使用して)、編集を選択する必要がある。これらのプロトコルを許可した後、自分のドメインのホストゾーンを編集することによって、Route 53でカスタムドメインのHTTPSエイリアスレコードを設定する必要がある。ユーザーは「レコードの作成」を選択し、CloudFrontディストリビューションに対応するサブドメインを入力、HTTPSタイプのエイリアスレコードを作成する。最後にCloudFrontディストリビューションへのエイリアスを選択し、特定のディストリビューションを選ぶ。保存すると、CloudFrontはユーザーのドメインに対してHTTPSレコードで応答開始する。
(出典:AWS Networking & Content Deliveryブログ投稿)
AWS以外にも他のクラウドプロバイダーやCDNもHTTPSレコードをサポートしている。例えば、Google Cloud DNSはHTTPSレコードタイプを完全にサポートしており、Google Cloud CDNなどのサービスの接続を最適化するために活用している。同様にCloudflareはHTTP/2またはHTTP/3が有効なプロキシドメインに対して自動的にこれらのレコードを生成する。
最後に、CloudFrontでのHTTPSレコードサポートはすべてのエッジロケーションで利用可能だ。