[新产品/新功能] 提升应用程序性能：Amazon CloudFront启用HTTPS记录

[新产品/新功能] 提升应用程序性能：Amazon CloudFront启用HTTPS记录   # 新功能/新产品概述 Amazon CloudFront 的 HTTPS 记录功能是基于 **Service Binding (SVCB)** DNS 记录的扩展，定义于 **RFC 9460**，旨在通过 DNS 解析阶段直接提供协议信息，从而优化 Web 连接过程。该功能的核心目标是减少连接建立的往返次数，支持未来协议升级，如 HTTP/3 和 QUIC，提升整体性能和安全。 **工作原理**：当客户端进行 DNS 查询时，HTTPS 记录返回支持的协议（如 ALPN=h2,h3）和端口信息，允许客户端在首次连接中直接使用最优协议（如 QUIC），而非传统方式需额外 TLS 协商。具体格式为 `<domain> <TTL> IN HTTPS <priority> <target> <parameters>`，例如 `mysite.com. 300 IN HTTPS 1 . alpn=h2,h3`。这通过 **Application-Layer Protocol Negotiation (ALPN)** 机制实现协议发现，减少了不必要的网络往返。 **产品背景**：随着互联网流量的爆炸性增长，用户对低延迟和高安全性的需求日益迫切，该功能发布于 2025-06-30，由 AWS 推出，针对全球边缘网络优化。目标用户群包括使用 CloudFront 进行内容交付的网站所有者、企业和开发人员，如媒体公司和电商平台。市场定位聚焦于提升 Web 应用性能，特别是在高并发和高延迟场景中，提供比传统 CDN 更高效的解决方案，帮助用户应对行业趋势，如 5G 和边缘计算的普及。 # 关键客户价值 - **性能优化**：该功能减少了连接建立的往返次数，例如从传统流程的多步 TLS 协商直接到单次 QUIC 握手，显著降低延迟。这与竞品（如其他 CDN 提供商的传统 DNS 记录）差异化在于，CloudFront 允许客户端在 DNS 解析阶段获取协议信息，实现首次连接即最优，避免了后续升级的额外开销。业务价值体现在高流量网站场景中，提升用户体验，减少页面加载时间。 - **安全提升**：通过提供详细的协议和端口信息，防范降级攻击（如强制回退到旧协议），这比竞品的被动安全机制（如仅靠 Alt-Svc 头）更主动。实现机制基于 **HTTPS 记录** 的加密元数据，确保连接从一开始就安全。不同场景中，如移动应用访问，价值在于减少暴露风险，提高数据传输的完整性。 - **成本降低**：使用 Route 53 的别名 HTTPS 记录，免除 DNS 查询费用，与竞品（如不提供免费别名记录的 DNS 服务）相比，提供直接的运营节省。机制通过 Route 53 的别名功能实现，用户无需额外配置即可受益，尤其在全球高流量场景中，帮助企业降低总体拥有成本（TCO），适用于初创企业和大规模企业。 # 关键技术洞察 - **技术独特性**：该功能基于 **RFC 9460** 定义的 HTTPS 记录，_通过 ALPN 参数（如 alpn=h2,h3）_ 直接在 DNS 响应中嵌入协议信息。工作原理是客户端查询 A/AAAA 和 HTTPS 记录时，一并获取 IP 和协议细节，实现无缝协议发现，而非传统多步流程。 - **技术创新点**：创新在于减少网络往返（从传统 2-3 次降至 1 次），对性能的影响是显著降低延迟（如在高并发场景中），安全性提升通过早期协议验证防范攻击，可用性则通过浏览器兼容性（如 Chrome、Safari 支持）确保无风险部署。对性能的影响包括优化 QUIC 的 1-RTT 握手，减少丢包风险；对安全性的影响是强化加密协商，降低中间人攻击；对可用性的影响是提高边缘网络的弹性。 - **挑战与解决方式**：实现挑战包括 DNS 服务器和浏览器兼容性问题，AWS 通过同时支持传统 A/AAAA 查询作为后备，确保向后兼容。解决方式是利用 CloudFront 的全球边缘网络自动传播记录，避免手动配置复杂性，同时通过 Route 53 的别名机制简化部署，体现了 AWS 在分布式系统中的技术优势。   # 提升应用性能：Amazon CloudFront 启用 HTTPS 记录 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/boost-application-performance-amazon-cloudfront-enables-https-record/](https://aws.amazon.com/blogs/networking-and-content-delivery/boost-application-performance-amazon-cloudfront-enables-https-record/) **发布时间:** 2025-06-30 **厂商:** AWS **类型:** BLOG --- [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 宣布支持 [Amazon Route 53](https://aws.amazon.com/route53/) 的 HTTPS DNS 别名记录 (HTTPS DNS alias record) 在其全球网络中，这让客户端在初始 DNS 解析阶段就能发现最佳 HTTP 协议，而非在后续连接步骤中。这有助于用户提升性能和安全性，同时降低运营开销。本文探讨了实现细节、性能改进以及如何设置此功能。 ## **HTTPS DNS 记录** HTTPS 记录 (HTTPS record) 是 Service Binding (SVCB) DNS 记录的一种专用形式，如 [RFC 9460](https://www.rfc-editor.org/rfc/rfc9460.html) 中定义。这些记录类型增强了安全互联网连接的灵活性，使其更可靠且更快。HTTPS 记录通过减少建立连接所需的往返次数并支持未来协议升级来实现这一目标。 HTTPS DNS 记录提供比其他记录类型（如 A 或 AAAA）更详细的信息，关于特定域名的可用服务。该记录类型提供关键细节，如支持的协议和端口，甚至可以指定备选服务器供客户端连接。当客户端执行 DNS 查询并有 HTTPS 记录可用时，它会立即获取可用协议的信息。这消除了单独的 TLS 协商和协议发现需求。浏览器和移动应用因此能在首次尝试时建立直接、安全连接，使用最优性能的协议，从而降低延迟并减少降级攻击风险。 **HTTPS DNS 记录格式：** `<domain> <TTL> IN HTTPS <priority> <target> <parameters>` 示例： mysite.com. 300 IN HTTPS 1 . alpn=h2,h3 组件： - 域：您的网站完全限定域名 (FQDN)（以点结尾） - TTL：缓存持续时间（以秒计，300-86400） - 优先级：0 表示别名，>0 表示服务端点 - 目标："." 表示相同域，或指定不同域 - 参数：键值对，如 alpn=h2,h3 用于应用层协议协商 (Application-Layer Protocol Negotiation) 协议协商值较低 TTL = 更动态更新，更高 TTL = 更好缓存性能。 ## 浏览器支持主要浏览器已支持 HTTPS 记录类型。Chrome、Safari 和 Firefox——这些 collectively 代表了绝大多数网络流量——默认进行这些查询。当浏览器发送 DNS 查询请求时，它们通常同时发送传统的 A/AAAA 记录请求和新 HTTPS 记录请求。浏览器使用 HTTPS 记录响应中的协议信息和 IP 地址来建立最佳连接。这种方法确保在 HTTPS 记录可用时实现最佳性能，同时与不支持它们的 DNS 服务器保持兼容。如果客户端不支持此功能，它会遵循传统的 DNS 解析过程，如“传统 DNS 解析和连接升级流程”部分所述。这允许一种无风险的优化，仅提升性能而不破坏与旧客户端的兼容性。 ## 传统 DNS 解析和连接升级流程以下序列图展示了客户端传统上通过 Alt-Svc 头在初始 HTTP/1.1 或 HTTP/2 连接后发现 HTTP/3 支持的过程，这需要多次连接建立来升级到 HTTP/3。 ![DNS 解析和 HTTP/3 升级过程无 HTTPS 记录](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/30/dns_resolution_without_https.png) 图 1: DNS 解析和 HTTP/3 升级过程无 HTTPS 记录以下步骤解释序列。 **步骤 1-2: DNS 查询** (1) 客户端查询 DNS 针对 www.example.com A/AAAA？ (2) DNS 返回仅 CloudFront Edge IP 结果：客户端获得 IP 地址但无协议信息 **步骤 3-7: 初始 HTTP/2 连接** (3) TCP 握手 (3-way) 到 CloudFront (4) TCP 建立 (5) TLS 握手通过 TCP (6) TLS 通过 TCP 建立 (7) HTTP/2 请求响应：HTTP/2 响应带有 Alt-Svc: h3=”:443” 结果：客户端在首次请求后获知 HTTP/3 支持 HTTP/3 通过 QUIC 为现代 web 应用提供更好性能，但连接升级过程需要额外往返引入延迟。在以下部分，我们展示如何通过使用 HTTPS DNS 记录改进 CloudFront 分发。 ## CloudFront HTTPS DNS 记录与 HTTP/3: 安全解析和连接建立流程以下序列图展示了使用 HTTPS 记录类型的 DNS 解析以及客户端和 web 服务器之间的后续连接建立。 ![使用 HTTPS 记录类型的 DNS 解析针对 HTTP/3 连接](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/30/dns_resolution_with_https.png) 图 2: 使用 HTTPS 记录类型的 DNS 解析针对 HTTP/3 连接以下步骤解释序列。 **步骤 1-2: DNS 查询** (1) 客户端查询 DNS 针对 www.example.com HTTPS 和 A/AAAA (2) DNS 返回 CloudFront Edge IP + HTTPS 记录，带有 alpn=h2,h3 结果：客户端通过 DNS 获知 HTTP/3 支持 **步骤 3-6: 直接连接** (3) 客户端启动 QUIC 握手 (1-RTT) 到 CloudFront (4) QUIC 连接建立 (5) 客户端发送 HTTP/3 请求 (6) CloudFront 以 HTTP/3 响应上述图表展示了 HTTPS DNS 记录类型如何为现代 web 协议如 HTTP/3 和 QUIC 提供早期提示，从而实现更安全、高效的连接建立过程。 ## 如何创建 CloudFront HTTPS DNS 记录首先，您必须在 CloudFront 分发中启用 HTTP/2 和/或 HTTP/3。在现有分发中，转到 **Settings** 容器并选择 **Edit**。从那里，您可以为分发启用 HTTP/2 或 HTTP/3，如以下图所示。 ![所需的 CloudFront 配置](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/30/required_cloudfront_config.png) 图 3: 所需的 CloudFront 配置当您的 CloudFront 分发启用 HTTP/2 和/或 HTTP/3 时，您可以通过 Route 53 为自定义域启用 HTTPS 记录。编辑域的 Hosted Zone，然后选择 **Create Record**，如以下图所示。对于 **Record Name**，输入与 CloudFront 分发上域匹配的子域。然后，创建类型为 **HTTPS** 的别名记录。在 **Route Traffic To** 下，选择 **Alias to a CloudFront distribution** 并选择您的 CloudFront 分发。保存后，CloudFront 将开始为您的域发送 HTTPS 记录。 ![Route 53 类型为 HTTPS 的别名记录](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/30/route53_https_alias_record-1024x337.png) 图 4: Route 53 类型为 **HTTPS** 的别名记录对于使用 CloudFront 提供的默认域名的用户（如 dxxx.cloudfront.net），此功能默认启用，仅需在 CloudFront 分发中启用 HTTP/2 和/或 HTTP/3 即可。 ## CloudFront 成本优化: 使用 Route 53 别名 HTTPS 记录在优化 CloudFront 成本时，大多数策略关注最大化缓存命中率、卸载源、减少数据传输出以及最小化 HTTPS/TLS 握手开销。然而，通过 Route 53 使用别名记录，有一种强大且常被忽略的节省成本技术。传统上，Route 53 DNS 查询按查询次数计费。但当您使用别名记录（如针对仅 IPv4 CloudFront 分发的别名 A，或针对双栈 IPv4/IPv6 分发的别名 A 和 AAAA 时），Route 53 会豁免这些 DNS 查询费用。这为高流量域直接降低运营成本。对 CloudFront 的别名 HTTPS 记录支持进一步扩展这些节省。现在，用户可以配置指向 CloudFront 分发的 Route 53 别名 HTTPS 记录，Route 53 会免费提供这些 DNS 查询服务。这消除了最常见的三种 DNS 记录类型 (A、AAAA 和 HTTPS) 的费用。这不仅对全球流量的大型企业有效，对寻求扩展的初创企业也特别有影响。它通过消除最常见 DNS 记录查询的费用，为增长中的使用提供宝贵安心。 ## 总结: web 性能向前迈进的一步 Amazon CloudFront 和 Amazon Route 53 对 HTTPS DNS 记录的支持代表了 web 性能优化的重要进步。通过消除不必要的连接建立往返，CloudFront 能更快速、高效地将内容交付给最终用户。HTTPS 记录支持已在所有 Edge 位置可用。您可以通过 [AWS Management Console](https://aws.amazon.com/console/) 开始使用这些新功能。使用 CloudFront 或 Route 53 的 HTTPS 记录无额外收费。 ![Jaiganesh Girinathan](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2022/04/12/jaiganesh.jpeg) ### Jaiganesh Girinathan Jaiganesh Girinathan 是专注于内容交付网络和 Edge 计算能力的 AWS 首席 Edge 专家解决方案架构师。他在过去二十年中与全球多家媒体客户合作，帮助组织现代化和扩展其平台。他热衷于构建解决方案来满足关键客户需求。工作之外，您通常能找到 Jaiganesh 在观星！ ![Mohamed Elmergawi](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/30/mohamed.jpeg) ### Mohamed Elmergawi Mohamed Elmergawi 是位于 Seattle 的 AWS CloudFront 软件工程经理。他领导 CloudFront DNS 和数据包处理团队，该团队负责关键基础设施组件，包括 CloudFront 的负载均衡器、Layer 3 和 Layer 4 DDoS 缓解系统，以及 Anycast 路由系统。凭借在大型分布式系统和网络基础设施方面的经验，Mohamed 的团队专注于构建和维护高度可用且弹性强的服务，以支持 Amazon CloudFront 的全球内容交付网络。他热衷于为 Edge 计算开发可扩展解决方案，确保 AWS 客户在全球范围内获得最佳性能、可用性和保护。 ![Eitav Arditti](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/30/eitav.jpg) ### Eitav Arditti Eitav Arditti 是 AWS 资深解决方案架构师，在 AdTech 行业拥有 15 年经验，专长于 Serverless、Containers、平台工程和 Edge 技术。他设计成本高效的大型规模 AWS 架构，利用云原生和 Edge 计算提供可扩展、可靠的解决方案以支持业务增长。