2024.10.24新規の Amazon パブリック証明書が、Starfield Class 2 認証局へのチェーンを停止
目次何が変わるのか?
2024年8月以降、ACMで発行または更新される新しいAmazon公開証明書には、Starfield C2 認証局が含まれなくなります。Starfield C2は、TLS(Transport Layer Security)接続において証明書の信頼性を保証する役割を果たしてきましたが、古くなったため、将来的には主要なプラットフォーム(例えばGoogle ChromeやMozilla Firefoxなど)からもサポートが外されます。
影響を受けるケース
一般的には問題ない!?
一般的なブラウザ(Google Chrome、Mozilla Firefox、AppleのSafari、Android、Windowsなど)や一般的なプラットフォームを使用している場合、特に問題は発生しません。これらのプラットフォームは、Starfield C2以外の最新の認証局(Starfield G2やAmazonの独自認証局など)も信頼しているため、今後発行される証明書でも問題なくTLS接続ができます。
例外
しかし、独自にTLS接続アプリケーションを構築している場合や、Starfield C2のみを信頼するように設定している環境では、問題が発生する可能性があります。このような環境では、新しい証明書チェーンを正しく認識できず、TLS接続が失敗する可能性があります。
どのような場合に不具合が起こるか?
以下のようなケースで不具合が起こる可能性があります
自前のアプリケーションやシステムでStarfield C2のみを信頼するように設定している場合
例えば、TLS接続を使ったAPI通信や独自のウェブアプリケーションがこれに該当します。新しい証明書チェーンがStarfield C2を含まないため、TLS接続が確立できなくなる恐れがあります。
トラストストア(信頼された認証局リスト)にStarfield C2しか含まれていない場合
この場合、新しい証明書を受け入れられず、通信が遮断される可能性があります。
対処方法
トラストストアを更新する
独自のシステムやアプリケーションがStarfield C2のみを信頼している場合は、トラストストアを更新し、Amazonの新しい認証局(Starfield G2やAmazon CA)を含める必要があります。
証明書への信頼を固定しない
AWSは、APIエンドポイントなどに対して、特定の証明書への信頼を固定することを避けるよう推奨しています。証明書の信頼は柔軟に管理し、最新の信頼チェーンに対応できるようにしておくことが重要です。
まとめ
AWSの証明書チェーンからStarfield C2が外れることで、特定の独自環境や設定でTLS接続が失敗するリスクがありますが、一般的なプラットフォームを利用している場合は影響はありません。独自のシステムを運用している場合は、トラストストアの更新や設定変更を行うことで問題を防ぐことができます。
この変更により、不具合を未然に防ぐための対応が必要な場合もあるため、特にカスタムTLS設定をしている場合は確認を行ってください。
タグ
カテゴリ
アーカイブ
サイト内検索