Amazon Web Services ブログ

Amazon Relational Database Service (RDS)とAmazon AuroraのSSL/TLS 証明書のアップデートについて

Amazon Relational Database Service (RDS)/Amazon Auroraをご利用のお客様に対し、「SSL/TLS 証明書のアップデートについて」のご案内をお送りさせていただいております。こちらは、現在RDSにて利用しているSSL/TLS 証明書が期限を迎えるため、新しいSSL/TLS 証明書へ更新が行われるという通知となっています。

SSL/TLS 証明書更新に際して、お客様よりよく頂くご質問を以下にまとめましたので、ご確認をお願いいたします。

 

Q: SSL/TLS 接続を使用している場合、CA 証明書をアップデートする必要がありますか?

はい、もしお客様が CA 証明書をアップデートしなかった場合、SSL/TLS 接続ができなくなります。CA 証明書のアップデートは 2020 年 3 月 5 日までに完了する必要があります。AWS では、CA 証明書のアップデートによる影響のテストや対応のための時間を確保するために、2020 年 2 月 5 日までにアップデートを完了していただくことを強くお勧めしております。

Q: CA 証明書のアップデートを 2019 年 10 月 31 日までに完了させる必要がありますか?最終期限はいつになりますか?

2019 年 11 月 1 日以降、お客様が新たに DB インスタンス (Amazon RDS DB インスタンス、Amazon Aurora DB クラスター、リードレプリカおよびスナップショットからのリストアを含む) を作成した場合、そのインスタンスはデフォルトで新しい CA 証明書 (rds-ca-2019) を使用いたします。もし、お客様のアプリケーションのトラストストアに新しい CA 証明書が含まれていないと SSL/TLS 接続ができなくなります。CA 証明書が無効になる 2020 年 3 月 5 日までの間は、AWS CLI のmodify-db-instance コマンドや Management Console から DB インスタンスの変更をしていただくことで、古い CA 証明書に戻していただけます。

新規 DB インスタンスにおける CA 証明書のデフォルトの切り替え日 (2019 年 11 月 1 日) につきましては予定となっており、お客様からのフィードバックを元に延期する予定でございます。新しい切り替え日につきましては、追ってご連絡させていただきます。

Q: 2020 年 3 月 5 日までに CA 証明書の更新が完了しなかった場合、CA 証明書は強制的にアップデートされますか? アップデートが完了しなかった場合、どのような影響がありますか?

2020 年 2 月 5 日以降、既存の DB インスタンスについて、2020 年 3 月 5 日の最終期限を迎える前に実施される強制アップデートのスケジュールの通知を送付させていただきます。もし、CA 証明書が 2020 年 3 月 5 日までにアップデートされなかった場合、お客様のアプリケーションからの SSL/TLS 接続は、CA 証明書が無効になっているため、失敗するようになります。この最終期限につきましては、CA 証明書が実際に無効になる日付であるため、延期することができません。

Q: なぜ 2019 年 10 月 31 日までに CA 証明書をアップデートすることが推奨されているのですか?

当初の予定では 2019 年 11 月 1 日より、新規 DB インスタンスで新しい CA 証明書を使用する予定であったため、早期の対応を行っていただくために、2019 年 10 月 31 日までの対応をお勧めしておりました。

Q: CA 証明書のアップデートでは停止時間が発生しますか?

はい、データベースバージョンのアップデートや OS のアップデートなどのメンテナンスと同様に、今回の CA 証明書アップデートにつきましても、お客様の DB インスタンスは再起動されます。実行されるタイミングにつきましては、お客様側で AWS CLI のmodify-db-instance コマンドや Management Console から DB インスタンスの変更により、次回メンテナンスウィンドウでの実行、もしくは即時での実行をご選択いただけます。再起動は通常 2 分以内に完了します。

Q: 最終期限を延期することはできますか?

いいえ、最終期限である 2020 年 3 月 5 日につきましては、CA 証明書が実際に無効になる日付であるため、延期することができません。

Q: CA 証明書更新のタイムラインはどのようになっていますか?

  • 2019 年 10 月 31 日: 当初 2019 年 11 月 1 日より新しい CA 証明書が新規 DB インスタンスで使用される予定だったため、CA 証明書アップデートの早期での実施を推奨していた日付になります
  • 2019 年 11 月 1 日: 当初新しい CA 証明書が新規 DB インスタンスで使用開始される予定だった日付になります
  • 2020 年 2 月 5 日: 最終期限である 2020 年 3 月 5 日より数週間前に実施される強制アップデートについての通知が送付される予定の日付になります
  • 2020 年 3 月 5 日: 古い CA 証明書が無効になり、強制アップデートが実行され、新しい CA 証明書を持っていないアプリケーションが SSL/TLS 接続性を失う日付になります

 

Amazon RDSのSSL/TLS 証明書の更新方法については、ドキュメントも合わせてご覧ください。