CloudFront に独自 SSL 証明書を適用する場合、下記の2パターンからクライアントサポートを選ぶ必要があります。
- IP モード
- SNI モード
IP モードでは全てのクライアントからアクセス可能となりますが、月額 600 ドルかかってしまいます。
そのため、SNI モードで運用される方も多いと思いますが、SNI モードでサポートされるクライアントはどんなものなのでしょうか?
CloudFront では下記のように説明してあります。
CloudFront serves your content over HTTPS only to clients that support SNI. Older browsers and other clients that don't support SNI can't access your content over HTTPS.
SNI に対応していないブラウザやその他のクライアントでは利用出来ないよ、と・・・そのままですね。
では SNI とはどんなものなのでしょうか?
Server Name Indication - Wikipedia
Server Name Indication (SNI) では、TLSに拡張を加えることでこの問題に対処する。
TLSのハンドシェイク手続きで、HTTPSクライアントが希望するドメイン名を伝える(この部分は平文となる)。
それによってサーバが対応するドメイン名を記した証明書を使うことが可能になる。
SNI は TLS の拡張として実現されています。
そのためクライアントには(SSL ではなく)TLS でアクセスしてもらう必要があります。
今時のブラウザで対応していないものは無いと思いますが、例えば想定しているクライアントがネイティブアプリだったりすると、利用しているライブラリによっては SSL で https を実現しているものもあったりするので、そういった場合には注意が必要です。