O blog da AWS

Urgente e Importante – Rotacione seus Certificados do Amazon RDS, Aurora e Amazon DocumentDB (com compatibilidade com o MongoDB)

Por Jeff Barr, Chefe Evangelista AWS.
Traduzido por Luiz Yanai, Arquiteto de Soluções, AWS Brasil

Você já deve ter recebido um email ou visto uma notificação do console, mas não quero que você seja pego de surpresa!

 

Rotacione agora

Se você estiver usando o Amazon Aurora, o Amazon Relational Database Service (RDS) ou o Amazon DocumentDB (com compatibilidade com o MongoDB) e estiver aproveitando a validação de certificado SSL / TLS ao se conectar às instâncias do banco de dados, precisará fazer o download e instalar um novo certificado, rotacionar a autoridade de certificação (CA) para as instâncias e, em seguida, reiniciar as instâncias.

Se você não estiver usando conexões SSL / TLS ou validação de certificado, não precisará fazer nenhuma atualização, mas eu recomendo que você faça isso para estar pronto caso decida usar conexões SSL / TLS no futuro. Nesse caso, você pode usar uma nova opção de CLI que rotaciona e prepara os novos certificados, mas evita uma reinicialização.

O novo certificado (CA-2019) está disponível como parte de um pacote de certificados que também inclui o certificado antigo (CA-2015), para que você possa fazer uma transição suave sem entrar em uma situação do ovo e da galinha.

 

O que está acontecendo?

Os certificados SSL / TLS para RDS, Aurora e Amazon DocumentDB expiram e são substituídos a cada cinco anos como parte de nossa disciplina padrão de manutenção e segurança. Aqui estão algumas datas importantes para saber:

19 de setembro de 2019 – Os certificados CA-2019 foram disponibilizados.

14 de janeiro de 2020 – As instâncias criadas nesta data terão os novos certificados (CA-2019). Você pode reverter temporariamente para os certificados antigos, se necessário.

5 de fevereiro a 5 de março de 2020 – O RDS preparará (instalará, mas não ativará) novos certificados nas instâncias existentes. Reiniciar a instância ativará o certificado.

5 de março de 2020 – Os certificados CA-2015 expiram. Os aplicativos que usam validação de certificado, mas que não foram atualizados, perderão a conectividade.

 

Como Rotacionar

No início deste mês, criei uma instância do banco de dados Amazon RDS for MySQL e a reservei em preparação para esta postagem no blog. Como você pode ver na captura de tela acima, o console do RDS me informa que preciso executar uma atualização de certificado.

Visito Usando SSL / TLS para Criptografar uma Conexão com uma Instância de Banco de Dados e baixo um novo certificado. Se meu cliente de banco de dados souber lidar com cadeias de certificados, posso fazer o download do certificado raiz e usá-lo em todas as regiões. Caso contrário, baixo um certificado específico para a região em que minha instância de banco de dados reside. Decido baixar um pacote que contém os certificados raiz antigos e novos:

Em seguida, atualizo meus aplicativos clientes para usar os novos certificados. Esse processo é específico para cada aplicativo e cada biblioteca cliente de banco de dados, portanto, não tenho detalhes para compartilhar.

Depois que o aplicativo cliente é atualizado, altero a autoridade de certificação (CA) para rds-ca-2019. Posso Modificar a instância no console e selecionar a nova autoridade de certificação:

Também posso fazer isso via CLI:

$ aws rds modify-db-instance --db-instance-identifier database-1 \--ca-certificate-identifier rds-ca-2019

A alteração entrará em vigor na próxima janela de manutenção. Também posso aplicá-la imediatamente:

$ aws rds modify-db-instance -- db-instance-identifier database-1 \--ca-certificate-identifier rds-ca-2019 --apply-immediately

Depois que minha instância foi reiniciada (imediatamente ou durante a janela de manutenção), testo meu aplicativo para garantir que ele continue funcionando conforme o esperado.

Se não estiver usando SSL e quiser evitar uma reinicialização, utilizarei –no-certificate-rotation-restart:

$ aws rds modify-db-instance --db-instance-identifier database-1 \--ca-certificate-identifier rds-ca-2019 --no-certificate-rotation-restart

O mecanismo do banco de dados buscará o novo certificado durante a próxima reinicialização planejada ou não planejada.

Também posso usar a função da API RDS ModifyDBInstance ou um modelo CloudFormation para alterar a autoridade de certificação.

Mais uma vez, tudo isso deve ser concluído até 5 de março de 2020 ou seus aplicativos podem não conseguir se conectar à sua instância de banco de dados usando SSL ou TLS.

 

Coisas a Saber

Aqui estão algumas coisas importantes a saber:

Amazon Aurora Serverless – O AWS Certificate Manager (ACM) é usado para gerenciar rotações de certificado para esse mecanismo de banco de dados e nenhuma ação é necessária.

Regiões – A rotação é necessária para instâncias de banco de dados em todas as regiões comerciais da AWS, exceto na Ásia-Pacífico (Hong Kong), Oriente Médio (Bahrain) e China (Ningxia).

Escalonamento de cluster – Se você adicionar mais nós a um cluster existente, os novos nós receberão o certificado CA-2019 se um ou mais nós existentes já o tiverem. Caso contrário, o certificado CA-2015 será usado.

 

Aprendendo mais

Aqui estão alguns links para informações adicionais:

 

Sobre o autor

Luiz Yanai

Luiz Yanai é arquiteto de soluções na AWS e especialista em tecnologias Serverless, atua auxiliando clientes de diversos segmentos em suas jornadas para a nuvem. Com mais de 15 anos de experiência em arquitetura e desenvolvimento de soluções envolvendo sistemas empresariais e de missão crítica.