Publicado en: Jul 23, 2019
Hemos actualizado la configuración predeterminada del paquete del asistente de montaje de Amazon Elastic File System (Amazon EFS) cuando se usa el cifrado de datos en tránsito. A partir de hoy, el uso del Protocolo de estado de certificado online (OCSP) no está habilitado de forma predeterminada.
El asistente de montaje de Amazon EFS ofrece la opción de cifrar los datos en tránsito para los sistemas de archivos EFS utilizando Transport Layer Security versión 1.2 (TLS v1.2). EFS utiliza un Amazon Certificate Authority (CA) para emitir y firmar sus certificados TLS, así como para verificar la revocación de certificados mediante el protocolo OCSP. Para verificar la revocación del certificado, debe ser posible acceder al punto de enlace de OCSP a través de Internet desde su Virtual Private Cloud (VPC). Para maximizar la disponibilidad del sistema de archivos en caso de que no se pueda acceder a la CA desde su VPC, el asistente de montaje de EFS ya no habilita el protocolo OCSP de forma predeterminada. Dentro del servicio, EFS monitoriza continuamente el estado de revocación de los certificados y emitirá nuevos certificados si se detecta un certificado revocado.
Aún puede optar por habilitar el protocolo OCSP para que sus clientes verifiquen los certificados revocados. Así ofrecemos la mayor seguridad posible. OCSP protege contra el uso malicioso de certificados revocados, lo que es poco probable que ocurra dentro de su VPC. En el caso de que se revoque un certificado TLS de EFS, Amazon publicará un boletín de seguridad y pondrá a disposición una nueva versión del asistente de montaje de EFS que rechace explícitamente el certificado revocado. En este caso, deberá actualizar el asistente de montaje de EFS manualmente,
que está disponible en las AMI de Amazon Linux y Amazon Linux 2, y también lo puede encontrar en GitHub. Para comenzar con el asistente de montaje de Amazon EFS y el cifrado de EFS de los datos en tránsito, consulte la documentación.