本日も乙

ただの自己満足な備忘録。

「[Action Required] Amazon S3 and Amazon CloudFront migrating default certificates to Amazon Trust Services in March 2021」というメールについて

3月19日ぐらいにブログタイトルのような件名のメールが届いた。今後トラブルがあったときに備忘として残しておく。

概要

  • 2021年3月1日から CloudFront・S3 の SSL 証明書のルート認証局が DigiCert から Amazon 自社認証局(Amazon Trust Services)に変更される
  • S3については eu-west-3、eu-north-1、me-outh-1、ap-northeast-3、ap-east-1、us-gov-east-1 リージョンで Amazon 自社認証局に切り替わっている。残りのリージョンも移行する予定

対応は必要か?

私たちAWS利用者側のアクションは必要ないが、クライアント(アプリケーションにアクセスする)側が Amazon 自社認証局を信頼しているかを確認しておいた方がいい。

モダンなブラウザであれば問題はない。ACMはすでに Amazon 自社認証局になっているため、ACM による SSL 証明書をつかっているサイトは問題ないといえる。

問題があるとすれば、例えば、古いシステムでS3でファイルのやり取りをしている場合だとSSLエラーが発生する場合がある。

信頼しているかはどうやって確認するのか?

https://s3-ats-migration-test.s3.eu-west-3.amazonaws.com/test.jpg にアクセスして 200 OK が返ってくるかを確認する。

ちなみに東京リージョンとUSリージョンでSSL証明書のルート認証局が異なるのがわかる。

東京リージョン↓
tokyo-s3-ssl

USリージョン↓
us-s3-ssl