AWS 要開始使用新的 CA 發各種資料庫相關服務的 SSL endpoint (包括 RDS、Aurora 與 DocumentDB),看一下差不多是十多天前的消息,不知道為什麼突然發個緊急通告:「Urgent & Important – Rotate Your Amazon RDS, Aurora, and Amazon DocumentDB (with MongoDB compatibility) Certificates」。
本來的 CA 是 CA-2015,將在 2020 年到期:
March 5, 2020 – The CA-2015 certificates will expire. Applications that use certificate validation but have not been updated will lose connectivity.
所以會有裡面提到的事項要處理,其中前幾天讓新的 CA-2019 變成新機器的預設值,但如果有需要,還是可以選舊的:
January 14, 2020 – Instances created on or after this date will have the new (CA-2019) certificates. You can temporarily revert to the old certificates if necessary.
可以把 https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem 拉下來用 openssl x509 -text -in rds-ca-2019-root.pem
看,另外把網址裡的 2019 改成 2015 也可以拉到舊版的。
不過看起來沒有用 X.509 Name Constraints 限制在只有自家 RDS 的網域...
One thought on “AWS 的 CA 更新 (CA-2019),將會影響與資料庫相關的服務”