3月19日ぐらいにブログタイトルのような件名のメールが届いた。今後トラブルがあったときに備忘として残しておく。

概要

• 2021年3月1日から CloudFront・S3 の SSL 証明書のルート認証局が DigiCert から Amazon 自社認証局（Amazon Trust Services）に変更される
• S3については eu-west-3、eu-north-1、me-outh-1、ap-northeast-3、ap-east-1、us-gov-east-1 リージョンで Amazon 自社認証局に切り替わっている。残りのリージョンも移行する予定

対応は必要か？

私たちAWS利用者側のアクションは必要ないが、クライアント（アプリケーションにアクセスする）側が Amazon 自社認証局を信頼しているかを確認しておいた方がいい。

モダンなブラウザであれば問題はない。ACMはすでに Amazon 自社認証局になっているため、ACM による SSL 証明書をつかっているサイトは問題ないといえる。

問題があるとすれば、例えば、古いシステムでS3でファイルのやり取りをしている場合だとSSLエラーが発生する場合がある。

信頼しているかはどうやって確認するのか？

https://s3-ats-migration-test.s3.eu-west-3.amazonaws.com/test.jpg にアクセスして 200 OK が返ってくるかを確認する。

ちなみに東京リージョンとUSリージョンでSSL証明書のルート認証局が異なるのがわかる。

東京リージョン↓

USリージョン↓