AWS CloudFront 新增 HTTPS DNS 支持，提升网站性能与安全

亚马逊云科技最近宣布，Amazon CloudFront 现已在 Amazon Route 53 中支持 HTTPS DNS 别名记录，这是一种服务绑定 (SVCB) DNS 记录 (RFC 9460) 的特殊形式。

传统上，客户端（例如浏览器）会执行一次 DNS 查询以获取 IP 地址，然后连接到服务器，之后才能协商 HTTP 协议（如 HTTP/1.1, HTTP/2, 或 HTTP/3）。借助 HTTPS 记录，DNS 查询能够一次性返回 IP 地址、支持的协议（如 HTTP/3）、端口和备用服务器等信息，从而避免了协议协商的额外网络往返，直接提升了页面初始加载速度。

（来源：亚马逊云科技网络与内容分发博客文章）

在安全性方面，由于协议细节被预先提供，这有助于防止“降级攻击”，确保连接从一开始就是安全的。

此外，通过 CloudFront 的别名记录，Route 53 可以免费处理 HTTPS 以及 A、AAAA 这类最常见的 DNS 查询，从而有效优化了成本。这一改进还得益于广泛的浏览器支持——像 Chrome、Safari 和 Firefox 等主流浏览器均已默认请求 HTTPS 类型的记录，这进一步提高了互联网连接的整体效率和安全性。

AWS Hero Vadym Kazulkin 总结了其影响，他在推文中表示：

此举可帮助用户提升性能和安全性，同时降低运营开支。

要在 CloudFront 分配上启用 HTTP/2 和/或 HTTP/3，用户应（使用 AWS 管理控制台）导航至其现有分配的“设置”部分，然后选择“编辑”。在允许这些协议后，在 Route 53 中为自定义域名设置 HTTPS 别名记录，具体方法是编辑其域名的“托管区域”。选择“创建记录”，输入与其 CloudFront 分配对应的子域名，并创建一个类型为 HTTPS 的别名记录。最后，选择“指向 CloudFront 分配的别名”并选择其特定的分发。保存后，CloudFront 将开始为其用户的域名响应 HTTPS 记录。

（来源：亚马逊云科技网络与内容分发博客文章）

除了亚马逊云科技，其他云服务提供商和 CDN 也支持 HTTPS 记录。例如，Google Cloud DNS 完全支持 HTTPS 记录类型，并利用它来优化 Google Cloud CDN 等服务的连接。同样，Cloudflare 会为启用了 HTTP/2 或 HTTP/3 的代理域名自动生成这些记录。

CloudFront 对 HTTPS 记录的支持已在所有边缘站点可用。

原文链接：

https://www.infoq.com/news/2025/07/aws-cloudfront-https-dns/