Mon application est-elle affectée par la migration des certificats Amazon S3 et Amazon CloudFront vers Amazon Trust Services ?

Date de la dernière mise à jour : 04/03/2021

Mon application peut être affectée par la migration des certificats Amazon Simple Storage Service (Amazon S3) et Amazon CloudFront vers Amazon Trust Services. Je souhaite vérifier si les autorités de certification (CA) Amazon Trust Services résident dans mon magasin de confiance.

Brève description

À compter du 23 mars 2021, AWS commencera à migrer l'autorité de certification Secure Sockets Layer/Transport Layer Security (SSL/TLS) pour Amazon S3 et CloudFront de DigiCert vers Amazon Trust Services.

Cette migration n'a pas d'incidence sur le trafic d'application s'il entre dans l'un des scénarios suivants :

  • Trafic HTTP
  • Trafic HTTPS vers CloudFront utilisant des domaines et des certificats personnalisés
  • Trafic HTTPS vers les compartiments S3 dans les régions AWS où S3 utilise déjà Amazon Trust Services pour ses certificats (eu-west-3, eu-north-1, me-south-1, ap-northeast-3, ap-east-1 ou us-gov-east-1)

Solution

Vous devez confirmer que vos applications font confiance à Amazon Trust Services en tant qu'autorité de certification si l'une des conditions suivantes est remplie :

  • Vous envoyez le trafic HTTPS directement aux compartiments S3 dans les régions qui ne sont pas répertoriées ci-dessus.
  • Vous envoyez du trafic HTTPS aux domaines CloudFront qui sont couverts par *.cloudfront.net.

Si vous utilisez d'autres services AWS, votre application peut déjà faire confiance à Amazon Trust Services. De nombreux services AWS, tels qu'Amazon Elastic Compute Cloud (Amazon EC2) et Amazon DynamoDB, ont déjà migré leurs autorités de certification.

Les certificats émis par Amazon Trust Services sont déjà inclus dans les magasins de confiance sur la plupart des navigateurs Web, des systèmes d'exploitation et des applications. Vous n'avez peut-être pas besoin de mettre à jour vos configurations pour gérer la migration, mais il existe des exceptions. Si vous créez des magasins d'approbation de certificats personnalisés ou utilisez l'épinglage de certificats, vous devrez peut-être mettre à jour vos configurations. Si Amazon Trust Services ne réside pas dans votre magasin de confiance, des messages d'erreur s'affichent dans les navigateurs (voir Exemple) et les applications.

Pour vérifier si Amazon Trust Services se trouve dans votre magasin de confiance, exécutez l'un des tests suivants à partir du système que vous utilisez pour vous connecter à un point de terminaison Amazon S3 ou CloudFront :

Si l'un de ces tests réussit, votre client est prêt à migrer vers Amazon Trust Services.

Pour vérifier que chacune des quatre autorités de certification racine d'Amazon Trust Services est incluse dans votre magasin de confiance, procédez comme suit :

Pour cette migration, votre application n'a pas besoin de faire confiance directement aux autorités de certification racine d'Amazon Trust Services. Il suffit que votre application approuve l'autorité de certification racine Starfield Services. Amazon S3 et CloudFront présenteront les chaînes de certificats avec une autorité de certification racine Amazon qui est signée croisée par l'autorité de certification racine du service Starfield.

Si l'un de ces tests échoue, les autorités de certification Amazon Trust Services ne résident pas dans votre magasin de confiance. Mettez à jour votre magasin de confiance pour inclure les autorités de certification Amazon Trust Services en effectuant une ou plusieurs des opérations suivantes :

  • Mettez à niveau votre système d'exploitation ou votre navigateur Web.
  • Mettez à jour votre application pour utiliser CloudFront avec un nom de domaine personnalisé et votre propre certificat.
  • Si votre application utilise un magasin de confiance personnalisé, vous devez ajouter les autorités de certification racine Amazon au magasin de confiance de votre application.
  • Si vous utilisez l'épinglage de certificat pour verrouiller les autorités de certification auxquelles vous vous faites confiance, vous devez ajuster votre épinglage pour inclure les autorités de certification Amazon Trust Services.
  • La plupart des kits SDK AWS et des interfaces de ligne de commande (CLI) AWS ne sont pas affectés par la migration. Cependant, vous devez mettre à niveau vos certificats si vous utilisez une version du SDK AWS Python ou de l'interface de ligne de commande (CLI) AWS publiée avant le 29 octobre 2013.
    Remarque : Si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande (CLI) AWS assurez-vous d'utiliser la version la plus récente de l'interface AWS CLI.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?