張貼日期: Jul 23, 2019
我們更新了使用傳輸中資料加密時的 Amazon Elastic File System (Amazon EFS) 掛載協助程式套件預設組態。從今天開始,系統不會預設啟用線上憑證狀態協定 (OCSP)。
Amazon EFS 掛載協助程式使用 Transport Layer Security 版本 1.2 (TLS v1.2),為 EFS 檔案系統提供加密傳輸中資料的選項。EFS 使用 Amazon 憑證授權機構 (CA) 發行和簽署其 TLS 憑證,以及使用 OCSP 檢查憑證撤銷。OCSP 端點必須可從您的 Virtual Private Cloud (VPC) 透過網際網路存取,以檢查憑證撤銷。為最大化無法從 VPC 存取 CA 時的檔案系統可用性,EFS 掛載協助程式不再預設啟用 OCSP。在該服務中,EFS 會持續監控憑證撤銷狀態,並在偵測到撤銷的憑證時發行新憑證。
您仍然可以選擇啟用 OCSP 讓用戶端檢查是否有撤銷的憑證,提供最強的安全性。OCSP 可保護不受惡意使用撤銷憑證的危害,雖然這種情況在您的 VPC 中極為罕見。如果 EFS TLS 憑證被撤銷,Amazon 會發佈安全佈告欄,並推出可用的新版 EFS 掛載協助程式,明確地拒絕撤銷的憑證。 這需要您手動更新 EFS 掛載協助程式。
Amazon Linux 和 Amazon Linux 2 AMI 中提供更新的 EFS 掛載協助程式,GitHub 上也會提供。要開始使用 Amazon EFS 掛載協助程式和 EFS 傳輸中資料加密,請參閱文件。