針對懸掛的 DNS 條目的增強保護
要將 CloudFront 與您的域一起使用，您必須將域配置為指向 CloudFront。您可以使用傳統 CNAME，也可以使用 Amazon Route 53“別名”記錄。

如果您刪除 CloudFront 分配，但 DNS 仍然指向 CloudFront，則可能會出現問題，這種問題通常稱為“懸掛的”DNS 條目。幸運的是，這種情況非常罕見，因為此類域已不再有效，但我們偶爾會看到客戶任由其舊域處於休眠狀態。如果您將這種“懸掛”的 DNS 條目指向不再由您控制的其他基礎設施，也會發生這種情況。例如，如果您將域指向並非由您控制的 IP 地址，則可能存在這樣的風險：有人冒名頂替，“認領”本應以您的域為目標的流量。

在更為罕見的情況下，濫用者可能會利用您所使用的域的子域。例如，如果客戶將“images.example.com”保留為懸掛狀態，並指向已不再使用的已刪除 CloudFront 分配，但仍然在使用父域“example.com”，那麼濫用者可能會冒名註冊“images.example.com”，作為其自己的分配的替代名稱，並“認領”他們原本無權獲得的流量。這也意味著也許會為其中可能包含父域的 HTTP 流量設定和攔截 Cookie。如果您刪除了與原始 CloudFront 分配關聯的證書，HTTPS 流量仍然會受到保護。

當然，對於這種型別的風險來說，最好的解決辦法首先就是不要留下懸掛的 DNS 條目。在 2018 年 2 月初，我們為系統添加了一個新警告。通過此警告，如果您從分配中刪除替代域名，則系統會提醒您刪除可能仍指向 CloudFront 的所有 DNS 條目。

我們還在 CloudFront API 中設定了長期檢查，確保您在使用萬用字元域時不會出現這種域認領。如果您嘗試將 *.example.com 新增到您的 CloudFront 分配中，但另一個賬戶已經註冊了 www.example.com，則您的新增嘗試將會失敗。

藉助新的增強域保護，CloudFront 現在還會在您刪除替代域時檢查 DNS。如果我們確定該域仍指向您的 CloudFront 分配，API 呼叫將會失敗，並且將來不會再有其他賬戶可以認領此流量。

針對域前置的增強保護
CloudFront 還會在不久之後實施針對所謂“域前置”的增強保護。域前置是指非標準客戶端與某個特定名稱建立 TLS/SSL 連線，然後向不相關名稱發出 HTTPS 請求。例如，TLS 連線可能會連線到“www.example.com”，但會針對“www.example.org”發出請求。

在某些情況下，這很正常而且符合預期。例如，瀏覽器可以針對同一 SSL 證書中列出的任何域重用持久連線，這些域將被視為相關域。但在其他情況下，包括惡意軟體在內的各種工具可以在完全不相關的域之間利用這種技術，規避可能在 TLS/SSL 層實施的限制和攔截。

需要明確的是，這種技術不能用於模擬域。客戶端是非標準的，會繞過普通客戶端利用的普通 TLS/SSL 檢查。但顯然，沒有客戶希望發現自己的普通域無故被人冒認。儘管這些情況均已按照違反 AWS 服務條款得到處理，但在未來幾周內，我們將檢查擁有我們為特定連線提供的證書的賬戶，確保其始終與擁有我們在該連線上所處理的請求的賬戶相匹配。一如既往，我們視客戶安全為頭等大事，並將繼續提供增強保護，防止不相關方造成的錯誤配置和濫用。

對其他 AWS 安全性方面的新聞感興趣？在 Twitter 上關注 AWS 安全性方面的部落格。