AWS IoT Core における証明書要件の変更への対応方法

注:この記事では、Symantec Server 中間認証局 (ICA) の更新に関する重要な発表と、今後予定されている AWS IoT Core のコントロールプレーンエンドポイントと新たにサポートされる AWS IoT Core カスタマーエンドポイントの TLS1.2 仕様への切り替えについて取り上げます。

概要

この記事では、Symantec Server の中間認証局 (ICA) の今後の変更と、コントロールプレーンエンドポイントのデフォルトでの TLS 1.2 への切り替えについて説明します。また、AWS IoT Core のカスタムドメインと設定可能なエンドポイント機能の使用方法に関する推奨事項についても説明します。さらに、単一の信頼できるエンドポイントに接続するデバイスにクライアント側のカスタム証明書 (自己署名された証明書) を使用する方法についても説明します。これにより、パブリック CA に関連する不確実性がなくなります。

変更 #1: Symantec Server ICA の更新

お客様がデフォルトで最新のセキュリティ機能を利用できるようにするため、AWS IoT Core のコントロールプレーンエンドポイントと新しく作成されたお客様のエンドポイントを TLS1.2 に切り替え、VeriSign Class 3 パブリックプライマリ認証機関 — G5 に基づく新しいサーバー証明書を用意します。さらに、下位互換性を維持するために、すべての既存のカスタマーエンドポイントは、現在の TLS バージョンと設定のままとします。AWS IoT Core の設定可能なエンドポイント機能を使用して、お客様の都合に合わせて、既存の顧客エンドポイントを TLS 1.2 または TLS 1.3 に移行することをお勧めします。

Symantec Server ICA (中間認証局) の更新

現在の Symantec Server ICA は 2023 年 10 月 31 日に有効期限が切れます。すべての Symantec Server 側証明書の発行には、更新された Symantec Server ICA が使用されます。

サーバー証明書のトラストチェーン (Symantec)

図 1.0

この変更はデータプレーンにのみ適用され、Symantec のエンドポイントにのみ適用されます。Amazon Trust Services (ATS) エンドポイントを使用しているお客様には影響はありません。AWS では、可用性のリスクが生じるため、証明書ピンニングを使用しないことを推奨しています。ただし、証明書ピンニングが必要なユースケースの場合は、AWS では、中間 CA またはリーフ証明書ではなく、ATS が署名した Amazon ルート CA 1 または Amazon ルート CA 3 にピン留めすることを推奨しています。最初に Symantec のルート CA (VeriSign クラス 3 パブリックプライマリ認証局 — G5) にピン留めしていた場合は、デバイスは引き続き AWS IoT Core に接続できます。

アクション/推奨事項:

• 現在の Symantec Server 中間認証局 (ICA) 証明書は 10 月 31 日に期限切れとなり、VeriSign クラス 3 パブリックプライマリ認証局 (G5) に基づく新しいサーバー ICA 証明書が徐々に公開される予定です。AWS はプロセスを注意深く監視しており、互換性のないデバイスを検出したら、お客様に連絡します。デバイスの動作が変わったり、デバイスが AWS IoT Core と通信できないことに気付いた場合は、カスタマーサポートまたはテクニカルアカウントマネージャー (TAM) に連絡してください。
• アプリケーションの安全性と互換性を確保するために、信頼できない Symantec Server ICA 証明書とのハードコーディングされた関連付けをすべて削除し、公的に信頼されているルート CA (ATS 署名付き Amazon ルート CA 1 や Amazon ルート CA 3 など) を使用することを強くお勧めします。
• Amazon Trust Services (ATS) エンドポイントを使用してファームウェアを更新し、ここから証明書チェーン全体を ATS ルートと照合して検証してください。少なくとも Amazon ルート CA 1 と Amazon ルート CA 3 をデバイスに入れてください。デバイスの容量がある場合は、将来最大限の互換性を実現するために、5 つすべてをストアに入れてください。
• Symantec Server 中間認証局 (ICA) 証明書にピン留めしていて、更新後に接続障害が発生した場合は、ファームウェアを更新して、Symantec ルート CA (VeriSign Class 3 パブリックプライマリ認証局 — G5) と照合して証明書チェーン全体を確認してください。この証明書はこちらから入手してください。
• カスタムドメインと設定可能なエンドポイントを使用してください。
  • 設定可能なエンドポイントを使用すると、デバイスに適用される TLS ポリシーを制御できます。繰り返しますが、新しいポリシーを使用してエンドポイントを作成し、準備が整ったらデバイスをそのエンドポイントに移動することで、段階的に制御できます。
• パブリック CA を使用するモバイルアプリ用と、プライベート CA (または自己署名) 証明書を使用するデバイス専用の 2 つのエンドポイントを用意し、TLS セキュリティポリシーを十分に把握しておくことをお勧めします。
• クライアント側で証明書のサイズを制限しないでください。パブリック CA では、サーバー証明書を定期的に更新する必要があります。OCSP レスポンダーの URL やその他のオプションを追加することで、サーバー証明書のサイズが時間とともに大きくなる可能性があります。今後のサーバー証明書を処理するのに十分なバッファを追加することをお勧めします。 AWS IoT Core Device Advisor を使用して、デバイスと大規模サーバー証明書との互換性を確認できます。

Amazon Trust Services (ATS) の署名付きルート CA を使用する

ATS の署名付きルート CA を使用するようにデバイスを更新する手順は次のとおりです。

1. デバイスが現在使用しているルート CA を特定します。そのためには、デバイスが AWS IoT Core に接続したときに表示されるサーバー証明書チェーンを確認します。
2. AWS IoT Core のドキュメントから ATS 署名付きルート CA をダウンロードします。
3. ATS 署名付きルート CA をデバイスのトラストストアにインストールします。具体的な手順は、使用しているデバイスの種類によって異なります。
4. デバイスをテストして、ATS が署名したルート CA を使用して AWS IoT Core に接続できることを確認します。

変更 #2: TLS 設定の更新

セキュリティへの継続的な取り組みの一環として、AWS IoT Core のコントロールプレーンエンドポイントと新しく作成されたお客様のエンドポイントが、デフォルトで TLS 1.2 以上の仕様になることをお知らせします。このアップグレードにより、お客様は業界の最新のセキュリティ標準と拡張機能の恩恵を受けることができます。また、AWS がすべての AWS サービス API エンドポイントの TLS 設定を最低バージョン TLS 1.2 に更新する予定であることにもご留意ください。

アクション/推奨事項

• コントロールプレーンのエンドポイント: TLS 1.0/1.1 を使用している場合は、これらの接続では TLS 1.2 以上を使い始める必要があります。
• データプレーンエンドポイント: TLS 1.0/1.1 を使用して AWS IoT Core に接続するデバイスは引き続き通常どおり動作しますが、セキュリティの将来性を確保するために、これらのデバイスを更新して TLS 1.2 の最小バージョンに対応するようにすることをお勧めします。

エンドポイントの移行

シームレスな移行を容易にするために、既存の顧客エンドポイントを都合の良いときに TLS 1.2 または TLS 1.3 に移行できる設定可能なエンドポイントを導入しました。この柔軟性により、特定の要件とスケジュールに合わせて移行プロセスを調整できます。詳細な手順については、以前のブログ投稿をご覧ください。

カスタムドメインと設定可能なエンドポイントの設定

AWS IoT Core でカスタムドメインと設定可能なエンドポイントをセットアップして、サーバー証明書をより細かく制御し、データエンドポイントの動作を管理すること。詳細な手順については、以前のブログ投稿をご覧ください。実稼働環境にデプロイする前に、必ず構成を徹底的にテストすることを忘れないでください。

まとめ

このブログ記事では、将来を見据えた IoT 導入に役立つ 2 つの重要な発表について説明しました。

Symantec Server ICA 証明書に別れを告げると同時に、これまでの貢献に感謝するとともに、より強力なセキュリティ対策の必要性を認識し、ATS 署名証明書と ATS エンドポイントの使用を推奨しています。ATS などの信頼できる認証局 (CA) の最新の SSL/TLS サーバー証明書に移行することで、高度なサイバー脅威からアプリケーションを強化し、最新のブラウザやデバイスとの互換性を確保できます。

また、AWS IoT Core のコントロールプレーンと新しく作成されたお客様のエンドポイントでは、TLS 1.0/1.1 から移行して最新の TLS 1.2 標準をデフォルト設定として採用しました。

最後に、カスタムドメインと設定可能なエンドポイントを活用して、サーバー証明書をより細かく制御し、データエンドポイントの動作を管理することをお勧めします。

よく寄せられる質問

Q1: 自分が影響を受けているかどうかはどうすればわかりますか?

A: ATS サーバー証明書を使用している場合、変更はありません。Symantec Server 証明書については、デバイスの TLS 実装が ICA を固定していないことを確認してください。この場合は問題ありません。確認方法についての一般的な説明はできませんが、提案できる可能性の 1 つは、デバイスコードに組み込まれているすべての証明書を見て、2023 年に有効期限が切れる証明書があるかどうかを確認することです。または、組み込まれている証明書が ATS の Amazon ルート CA 1 と Amazon ルート CA 3、および Symantec VeriSign クラス 3 パブリックプライマリ認証局 (G5) であることを確認することもできます。

Q2: AWS IoT Core とのデバイス通信動作の変化に気付いたらどうなりますか?

A: デバイスの動作が変わったり、デバイスが AWS IoT Core と通信できないことに気付いた場合は、カスタマーサポートまたはテクニカルアカウントマネージャー (TAM) に連絡してください。

ヘルプはどこで受けられますか?

質問がある場合は、AWS サポートまたは担当のテクニカルアカウントマネージャ (TAM) に問い合わせるか、AWS re: Post の AWS IoT フォーラムで新しいスレッドを開始してください。

詳細はこちら

AWS IoT Core での TLS 1.2 と TLS 1.3 のサポートの利点と移行方法の詳細については、以下のドキュメントをご覧ください。

• AWS IoT Core のコントロールプレーンエンドポイント
• AWS IoT Core のデータプレーンエンドポイント
• AWS IoT Core で TLS 1.3 のサポート開始
• TLS 1.2 がすべての AWS API エンドポイントへの接続に必要な最小バージョンになります
• AWS IoT Coreでのトランスポートセキュリティ
• 証明書を発行して管理する
• AWSの自社認証局への移行に備える方法
• AWS IoT Core のカスタムドメインを利用してコネクテッドデバイスを AWS に移行する
• Elliptic Curve Cryptography and Forward Secrecy Support in AWS IoT
• AWS IoT Core がお客様に提供する Symantec の認証局無効化の対応方法
• (外部リンク) DigiCert ルート証明書

著者について

Syed Rehan はアマゾン ウェブ サービス (AWS) のシニア IoT サイバーセキュリティスペシャリストです。ロンドンを拠点とし、AWS IoT Core Security Foundations チームで働いています。彼は世界中の顧客にサービスを提供し、セキュリティ専門家、開発者、セキュリティ意思決定者と協力して AWS IoT サービスの採用を促進しています。サイバーセキュリティ、IoT、クラウド技術に関する豊富な知識を持つ Syed は、スタートアップから大企業に至るまで、さまざまなお客様が AWS エコシステム内で安全な IoT ソリューションを構築できるよう支援しています。

この記事は Syed Rehan によって書かれた How to update changing certificate requirements with AWS IoT Core の日本語訳です。この記事はソリューションアーキテクトの岡本 晋太朗が翻訳しました。