发布于: Jul 23, 2019
我们更新了在使用传输中数据加密功能时 Amazon Elastic File System (Amazon EFS) 挂载助手包的默认配置。从今天开始,默认情况下不启用在线证书状态协议 (OCSP)。
Amazon EFS 挂载助手使用传输层安全性版本 1.2 (TLS v1.2) 为 EFS 文件系统提供加密传输中数据的选项。EFS 使用 Amazon 证书颁发机构 (CA) 颁发和签署 TLS 证书,并使用 OCSP 检查证书撤销情况。为了检查证书撤销情况,您必须通过 Internet 从 Virtual Private Cloud (VPC) 访问 OCSP 终端节点。为了在无法从 VPC 访问 CA 时最大限度地提高文件系统的可用性,EFS 挂载助手在默认情况下不再启用 OCSP。在服务中,EFS 不断监控证书撤销状态,如果检测到已撤销的证书,它将颁发新的证书。
您仍然可以选择启用 OCSP,使您的客户端检查已撤销的证书,从而提供最强的安全性。OCSP 防止恶意使用已撤销的证书,这种情况不太可能发生在您的 VPC 中。如果 EFS TLS 证书被撤销,Amazon 将发布安全公告,并提供新版本的 EFS 挂载助手,显式拒绝已撤销的证书。 这将需要您手动更新 EFS 挂载助手。
更新后的 EFS 挂载助手可以在 Amazon Linux 和 Amazon Linux 2 AMI 中找到,也可以在 GitHub 上找到。要开始使用 Amazon EFS 挂载助手和 EFS 传输中数据加密功能,请参阅文档。