Publié le: Jul 23, 2019
Nous avons mis à jour la configuration par défaut du package d'assistance au montage Amazon Elastic File System (Amazon EFS) lors de l'utilisation du chiffrement des données en transit. À compter d'aujourd'hui, l'utilisation du protocole d'état des certificats en ligne (OCSP) n'est plus activée par défaut.
L'assistance au montage Amazon EFS offre la possibilité de chiffrer les données en transit pour les systèmes de fichiers EFS à l'aide de la version 1.2 du protocole TLS (Transport Layer Security) EFS utilise une autorité de certification Amazon pour émettre et signer ses certificats TLS, ainsi que pour vérifier la révocation de certificats à l'aide d'OCSP. Le point de terminaison OCSP doit être accessible sur Internet à partir de votre VPC (Virtual Private Cloud) afin de vérifier la révocation des certificats. Pour optimiser la disponibilité du système de fichiers dans le cas où l'autorité de certification n'est pas accessible depuis votre VPC, l'assistance au montage EFS n'active plus le protocole OCSP par défaut. Au sein du service, EFS surveille en permanence l'état de révocation des certificats et émettra de nouveaux certificats si un certificat révoqué est détecté.
Vous pouvez toujours choisir d'activer OCSP pour que vos clients vérifient les certificats révoqués, offrant ainsi la sécurité la plus renforcée qui soit. OCSP protège contre l'utilisation malveillante des certificats révoqués, ce qui est peu probable dans votre VPC. Si un certificat EFS TLS est révoqué, Amazon publie un bulletin de sécurité et met à disposition une nouvelle version de l'assistance au montage EFS qui rejette explicitement le certificat révoqué. Cela nécessitera de mettre à jour manuellement l'assistance au montage EFS.
L'assistance au montage EFS mise à jour est disponible dans les AMI Amazon Linux et Amazon Linux 2, de même que sur GitHub. Pour démarrer l'assistance au montage Amazon EFS et le chiffrement EFS des données en transit, consultez la documentation.