Blog de Amazon Web Services (AWS)

Urgente & Importante – Rote sus certificados digitales para Amazon RDS, Aurora y DocumentDB

Por Jeff Barr, Chief Evangelist, AWS

Traducido por Mau Munoz, Principal Solution Architect, AWS

 

Probablemente ya recibió un email o vio la notificación en la consola, pero queremos reforzar el mensaje para que no sea tomado por sorpresa.

Rote ahora

Si está usando Amazon AuroraAmazon Relational Database Service (RDS), o Amazon DocumentDB (with MongoDB compatibility) y está aprovechando la validación de certificados SSL/TLS cuando se conecta a sus instancias de bases de datos, necesita bajar e instalar un nuevo certificado, rotar la CA (Entidad Certificadora) en las instancias y luego reiniciar las instancias.

Si no está usando conexiones SSL/TLS o validación de certificados, no necesita hacer ningún cambio, sin embargo le recomendamos que lo haga para estar listo en caso de que decida usar conexiones SSL/TLS en el futuro.  En este caso, puede usar una nueva opción de CLI que rota y prepara los nuevos certificados pero evita tener que reiniciar.

El nuevo certificado (CA-2019) está disponible como parte de un paquete de certificados que también incluye el certificado antiguo (CA-2015) para que pueda realizar una transición sin problemas.

 

¿Qué está ocurriendo?

Los certificados SSL/TLS para RDS, Aurora y Amazon DocumentDB caducan y se sustituyen cada cinco años como parte de nuestra disciplina estándar de mantenimiento y seguridad.

Aquí hay algunas fechas importantes para conocer:

19 de Septiembre, 2019 — Los certificados CA-2019 fueron puestos a disposición.

14 de enero de 2020: las instancias creadas a partir de esta fecha tendrán los nuevos certificados (CA-2019). Puede volver temporalmente a los certificados antiguos si es necesario.

Del 5 de febrero al 5 de marzo de 2020: RDS instalará (instalará pero no activará) nuevos certificados en instancias existentes. Al reiniciar la instancia, se activará el certificado.

5 de marzo de 2020 — Los certificados CA-2015 caducarán. Las aplicaciones que utilizan la validación de certificados pero que no se han actualizado perderán la conectividad.

 

¿Cómo rotar?

Empiece por revisar en su cuenta si hay reportada una necesidad de hacer una actualización de certificado.

Acceda al link  Using SSL/TLS to Encrypt a Connection to a DB Instance y  descargue un certificado nuevo. Si el cliente de base de datos sabe cómo manejar cadenas de certificados, puede descargar el certificado raíz y usarlo para todas las regiones. De lo contrario, descargue un certificado que es específico de la región en la que reside la instancia de base de datos.

En mi caso, decidí descargar un paquete que contiene los certificados raíz e intermediarios:

A continuación, actualizo mis aplicaciones cliente para usar los nuevos certificados. Este proceso es específico para cada aplicación y cada biblioteca de cliente de base de datos, por lo que no tengo ningún detalle que compartir.

Una vez que se ha actualizado la aplicación cliente, cambio la entidad certificadora (CA) a rds-ca-2019. Puedo modificar la instancia en la consola y seleccionar la nueva CA:

También lo puedo hacer via  CLI:

$ aws rds modify-db-instance --db-instance-identifier database-1 \ --ca-certificate-identifier rds-ca-2019

El cambio surtirá efecto durante la siguiente ventana de mantenimiento. También puedo aplicarlo inmediatamente:

$ aws rds modify-db-instance --db-instance-identifier database-1 \ --ca-certificate-identifier rds-ca-2019 --apply-immediately

Después de reiniciar mi instancia (ya sea inmediatamente o durante la ventana de mantenimiento), pruebo mi aplicación para asegurarme de que continúa funcionando como se esperaba.

Si no estoy usando SSL y quiero evitar un reinicio, uso –no-certificate-rotation-restart:

$ aws rds modify-db-instance --db-instance-identifier database-1 \ --ca-certificate-identifier rds-ca-2019 --no-certificate-rotation-restart

El motor de base de datos aplicará el nuevo certificado durante el siguiente reinicio planificado o no planificado.

También puedo usar la API RDS ModifyDBInstance o una plantilla de CloudFormation para cambiar la entidad certificadora.

Una vez más, todo esto debe completarse antes del 5 de marzo de 2020 o es posible que sus aplicaciones no puedan conectarse a su instancia de base de datos mediante SSL o TLS.

 

Para saber:

Aquí tienes un par de cosas importantes que debes saber:

Amazon Aurora Serverless — AWS Certificate Manager (ACM) se utiliza para administrar las rotaciones de certificados para este motor de base de datos, y no es necesario realizar ninguna acción.

Regiones: la rotación es necesaria para las instancias de base de datos en todas las regiones comerciales de AWS, excepto Asia Pacífico (Hong Kong), Oriente Medio (Bahrein) y China (Ningxia).

Escalado de clúster: si agrega más nodos a un clúster existente, los nuevos nodos recibirán el certificado CA-2019 si uno o varios de los nodos existentes ya lo tienen. De lo contrario, se utilizará el certificado CA-2015.

 

¿Quiere saber más?

Aquí hay otros enlaces donde encontrará más información: