3月19日ぐらいにブログタイトルのような件名のメールが届いた。今後トラブルがあったときに備忘として残しておく。
概要
- 2021年3月1日から CloudFront・S3 の SSL 証明書のルート認証局が DigiCert から Amazon 自社認証局(Amazon Trust Services)に変更される
- S3については eu-west-3、eu-north-1、me-outh-1、ap-northeast-3、ap-east-1、us-gov-east-1 リージョンで Amazon 自社認証局に切り替わっている。残りのリージョンも移行する予定
対応は必要か?
私たちAWS利用者側のアクションは必要ないが、クライアント(アプリケーションにアクセスする)側が Amazon 自社認証局を信頼しているかを確認しておいた方がいい。
モダンなブラウザであれば問題はない。ACMはすでに Amazon 自社認証局になっているため、ACM による SSL 証明書をつかっているサイトは問題ないといえる。
問題があるとすれば、例えば、古いシステムでS3でファイルのやり取りをしている場合だとSSLエラーが発生する場合がある。
信頼しているかはどうやって確認するのか?
https://s3-ats-migration-test.s3.eu-west-3.amazonaws.com/test.jpg にアクセスして 200 OK が返ってくるかを確認する。
ちなみに東京リージョンとUSリージョンでSSL証明書のルート認証局が異なるのがわかる。
東京リージョン↓
USリージョン↓