ATENÇÃO OS EDITOS E ATUALIZAÇÕES ABAIXO
No momento em que escrevi isso (23 de maio de 2012), o SSL é suportado pelo URL de distribuição do CloudFront só. Ou seja, você não pode CNAME o URL SSL. Concretamente, você pode fazer referência a um item via SSL como:
https://[distribution].cloudfront.net/picture.jpg
mas não:
https://cdn.mydomain.com/picture.jpg
onde cdn.mydomain.com é um CNAME para [distribuição] .cloudfront.net. No momento, você receberá erros de SSL.
Isso significa que você não pode usar seu nome de domínio ou certificado SSL. Isso pode causar problemas com políticas de vários domínios no navegador, além de adicionar complexidade à manutenção de um site.
A equipe da AWS me garantiu que o suporte HTTPS para CNAMEs de distribuição está em sua lista de recursos, mas que precisa de suporte da comunidade para priorização. Para ajudar nesse esforço, preencha a pesquisa do CloudFront (veja abaixo) e observe esta solicitação de recurso. A equipe da AWS usa os dados coletados da pesquisa para planejar e priorizar o roteiro do CloudFront.
Observe que o suporte a HTTPS CNAME é necessário quando você faz a pesquisa no CloudFront: http://aws.qualtrics.com/SE/?SID=SV_9yvAN5PK8abJIFK
EDIT: notou uma postagem de 11 de junho de 2012 que a AWS havia atualizado o link da pesquisa:
Novo link da pesquisa: http://aws.qualtrics.com/SE/?SID=SV_e4eM1cRblPaccFS
Acho que vale a pena fornecer feedback sobre como tornar o CNAME + SSL um recurso suportado.
EDIT: anunciado em 11 de junho de 2013, Certs SSL personalizados com IPs dedicados agora são suportados com o CloudFront na AWS:
Veja o anúncio do recurso no blog da AWS: http://aws.typepad.com/aws/2013/06/custom-ssl-domain-names-root-domain-hosting-for-amazon-cloudfront.html
Um item a ser considerado antes de contar com essa rota, você precisa ver um valor significativo ao desviar-se da rota https: // [distribution] .cloudfront.net , pois o preço é de US $ 600 por mês para hospedagem de certificados SSL personalizados.
EDIT: anunciado em 5 de março de 2014, os certificados SSL personalizados usando SNI (Server Name Indication) agora são suportados pelo CloudFront na AWS - SEM TAXA ADICIONAL:
A AWS agora oferece suporte a certificados SSL personalizados via SNI. Isso é ENORME, pois abre a possibilidade de aproveitar a infraestrutura existente da AWS (endereços IP). Como tal, a AWS não cobra nenhum custo extra por este serviço! Para saber mais, leia sobre isso na postagem do blog da AWS: http://aws.typepad.com/aws/2014/03/server-name-indication-sni-and-http-redirection-for-amazon-cloudfront.html
Um item que deve ser observado, porém, Server Name Indication (SNI) tem algumas desvantagens que devem ser consideradas antes de se confiar completamente nele. Em particular, ele não é suportado por alguns navegadores mais antigos. Se quiser entender melhor isso, consulte: /programming/5154596/is-ssl-sni-actually-used-and-supported-in-browsers
EDIT: A AWS anunciou em 21 de janeiro de 2016 que fornecerá certificados SSL personalizados GRATUITAMENTE!
Para ler sobre o anúncio completo no site da AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/
A Amazon anunciou um novo serviço chamado AWS Certificate Manager, oferecendo certificados SSL / TLS gratuitos para recursos da AWS.
Esses certificados geralmente são adquiridos de fornecedores terceirizados como Symantec, Comodo e RapidSSL e podem custar de US $ 50 a centenas de dólares, dependendo do nível de verificação de identidade realizada.
O processo de obtenção de um novo certificado sempre foi um pouco confuso, exigindo a geração de uma Solicitação de Assinatura de Certificado no servidor que está sendo protegido, enviando essa solicitação a um provedor de certificados e instalando o certificado após o recebimento. Como a Amazon está gerenciando todo o processo, tudo isso desaparece e os certificados podem ser emitidos e provisionados rapidamente nos recursos da AWS automaticamente.
Existem algumas limitações para os certificados. A Amazon fornece apenas certificados validados por domínio, uma verificação simples em que a validação do domínio ocorre por email. Se você deseja um certificado de Validação Estendida, pode ficar com seus fornecedores de certificados atuais. Além disso, os certificados não podem ser usados para assinatura de código ou criptografia de email.