Veröffentlicht am: Jul 23, 2019
Wir haben die Standardkonfiguration für das Mount-Hilfepaket in Amazon Elastic File System (Amazon EFS) für die Verwendung der Verschlüsselung von Daten während der Übertragung aktualisiert. Ab heute ist die Verwendung des Online Certificate Status Protocol (OCSP) nicht mehr standardmäßig aktiviert.
Die Mount-Hilfe für Amazon EFS bietet eine Option, Daten für EFS-Dateisysteme in der Übertragung über Transport Layer Security in Version 1.2 (TLS v1.2) zu verschlüsseln. EFS verwendet eine Amazon Certificate Authority (CA), um die eigenen TLS-Zertifikate auszustellen und zu signieren und die Zertifikate über OCSP auf Zertifikatwiderrufung hin zu überprüfen. Der OCSP-Endpunkt muss über das Internet über Ihre Virtual Private Cloud (VPC) erreichbar sein, um die Zertifikatwiderrufung zu überprüfen. Um die Systemverfügbarkeit zu maximieren, wenn die CA über Ihre VPC nicht erreichbar ist, wird OCSP durch die EFS-Mount-Hilfe standardmäßig nicht mehr aktiviert. Innerhalb des Dienstes führt EFS die Überwachung des Zertifikatwiderrufungsstatus fort und stellt neue Zertifikate aus, wenn ein widerrufenes Zertifikat entdeckt wurde.
Sie haben weiterhin die Wahl, OCSP zu aktivieren, damit Ihre Clients für größtmögliche Sicherheit eine Prüfung auf widerrufene Zertifikate durchführen. OCSP schützt vor bösartiger Verwendung widerrufener Zertifikate; innerhalb Ihrer VPC ist eine solche Verwendung jedoch unwahrscheinlich. Falls einmal ein EFS TLS-Zertifikat widerrufen wird, veröffentlicht Amazon eine Sicherheitsmitteilung und stellt eine neue Version der EFS-Mount-Hilfe zur Verfügung, die das widerrufene Zertifikat ausdrücklich ablehnt. Dazu müssen Sie die EFS-Mount-Hilfe manuell aktualisieren.
Die aktualisierte EFS-Mount-Hilfe ist in Amazon Linux- und Amazon Linux 2-AMIs und außerdem in GitHub verfügbar. Die ersten Schritte für die Amazon EFS-Mount-Hilfe und die EFS-Verschlüsselung für Daten in der Übertragung finden Sie in der Dokumentation.