AWS で実行されているアプリケーションを ACM が発行した証明書にピン留めすることはできますか?

簡単な説明

ACM が発行した SSL/TLS 証明書にアプリケーションをピン留めすることは、ベストプラクティスではありません。証明書をピン留めすると、ウェブサイトで使用されているパブリックキーの ID をブラウザに提供することになります。ユーザーがウェブサイトにアクセスすると、ブラウザによりピンがキャッシュされます。そのピンは、次回以降の訪問時にパブリックキーを確認するためにも使用されます。通常、ピンの情報は HTTP レスポンスのヘッダーとピンの有効期限 (TTL) に含まれています。証明書の更新時など、証明書が変更された場合、その変更によりウェブサイトの訪問者にエラーが表示される可能性があります。これらのエラーは、ウェブサイトへの安全な接続を確立できないために発生します。詳細については、「証明書のピンニング」を参照してください。

重要: 2022 年 10 月 11 日午前 9 時 (太平洋時間) から、ACM を使用して取得したパブリック証明書は、Amazon が管理する中間 CA のいずれかから発行されます。また、複数の中間 CA は、既存の Amazon Trust Services のルート CA にチェーンされます。この変更により、発行されたリーフ証明書は異なる中間 CA によって署名されます。この変更以前は、Amazon により限られた数の中間 CA が管理され、同じ中間 CA から証明書が発行および更新されていました。詳細については、「Amazon が動的中間認証機関を導入」を参照してください。

解決方法

アプリケーションは、個別の証明書や中間 CA 証明書ではなくルート認証局 (CA) にピン留めするのがベストプラクティスです。アプリケーションを Amazon Trust Services の CA にピン留めする場合、同じアプリケーションを Amazon Trust Services テーブル のすべての CA にピン留めします。

注: 証明書をリクエストする際は、ACM により証明書の発行元は指定されないため、アプリケーションをピン留めする CA をすべて選択する必要があります。

証明書をピン留めするには、次のいずれかのオプションを使用して、アプリケーションがドメインに接続できることを確認してください。

アプリケーションを Amazon ルート証明書にピン留めする

アプリケーションをルート証明書レベルでピン留めすると、ACM 管理の更新により、証明書を発行したのと同じ CA の証明書が更新されます。証明書の Amazon リソースネーム (ARN) は変わりません。バックアップピンとしてアプリケーションを複数の CA に固定することもできます。証明書の有効期限が切れた場合は、新しい証明書をリクエストし、その証明書をロードバランサーに適用することで、アプリケーションのダウンタイムを減らすことができます。

独自の証明書を ACM にインポートし、インポートした証明書にアプリケーションをピン留めする

インポートした証明書は、ACM 管理の更新プロセスでは更新されません。証明書とキーの更新を管理する必要があります。詳細については、「AWS Certificate Manager への証明書のインポート」を参照してください。

関連情報

ACM のベストプラクティス

証明書のピンニングの問題