AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

New Amazon public certificates no longer chain to the Starfield Class 2 Certification Authority

0

AWS Certificate Manager(ACM) 계정이 있고 만료되지 않은 Amazon에서 발급한 [1] 공개 인증서가 하나 이상 있으므로 연락드립니다. 2024년 8월부터 ACM을 통해 얻은 새 Amazon 공개 인증서와 갱신된 Amazon 공개 인증서는 인증서 체인에 Starfield C2(주체 C=US, O=Starfield Technologies, Inc., OU=Starfield Class 2 Certification Authority)를 포함하지 않습니다. 이는 TLS 시작 애플리케이션이 Starfield C2만 신뢰하는 경우 TLS 연결에 영향을 미칠 수 있습니다. 이전에 게시된 블로그 게시물 [2]에서 이 변경 사항에 대해 자세히 알아볼 수 있습니다.

브라우저, Mozilla 신뢰 저장소와 같은 일반적인 신뢰 저장소, 최신 Android, Apple, Microsoft 또는 Chromium 버전과 같은 일반적인 플랫폼을 사용하는 경우 이 변경 사항의 영향을 받지 않습니다. 그러나 귀하 또는 최종 고객이 TLS 시작 애플리케이션을 Starfield C2만 신뢰하도록 사용자가 지정한 경우 대신 신뢰 저장소를 업데이트하여 모든 Amazon CA [1]를 신뢰해야 합니다. 그렇지 않으면 이러한 애플리케이션은 C2가 없는 최신 Amazon 인증서를 만나면 TLS 연결을 시작하지 못합니다. 우리는 Amazon이 소유한 Starfield G2로 Amazon CA를 계속 교차 서명합니다. Mozilla, Chrome, Windows, Android와 같은 모든 인기 있는 공개 브라우저 및 플랫폼에는 인증서에서 체인으로 연결하는 Amazon 및 Starfield G2가 포함되어 있습니다. 모범 사례로서 AWS 서비스 API 엔드포인트용 인증서와 같이 완전히 소유하지 않은 인증서에 신뢰를 고정하지 않는 것이 좋습니다. 인증서 고정에 대한 OWASP 지침 [3] [4]을 읽을 수 있습니다. 이 변경 사항과 관련하여 이미 AWS 서비스나 지원 팀에 문의한 경우, 이 메시지에 따라 추가 조치를 취할 필요가 없을 수도 있습니다.

변경 이유: 자세한 내용은 위에 언급된 블로그 게시물에 있지만 요약된 버전은 다음과 같습니다.Starfield C2 CA는 2004년에 발급되었으며 20년 된 것입니다.ACM이 2016년에 출시되었을 때 ACM은 당시 더 널리 신뢰되는 루트인 Starfield Class 2 인증 기관과 공개 인증서를 교차 서명하기로 했습니다.3P 공급업체인 GoDaddy는 Starfield C2를 소유하고 있습니다.GoDaddy는 Chromium, Mozilla와 같은 일부 인기 플랫폼이 2025년 4월부터 C2를 신뢰하지 않기 때문에 Starfield C2 지원을 중단할 계획입니다[5] [6].Amazon은 고객을 대신하여 GoDaddy가 2025년 12월 말까지 Starfield C2를 지원하기 위한 연장된 타임라인을 협상했습니다.ACM에서 발급한 인증서는 13개월 동안 유효하므로 GoDaddy가 지원을 중단할 때까지 갱신된 인증서에 Starfield C2가 포함되지 않도록 지금 전환을 시작해야 합니다.

이런 메일을 받았습니다.

갱신메일 확인하고 갱신되고 끝난줄 알았는데 끝이 아닌가보네요.

어떻게 도움을 받을 수 있을까요?

혹시 문의를 남기는것도 비용이 남는지 궁금합니다

질문됨 한 달 전90회 조회
1개 답변
0
수락된 답변

이 변경사항에 대해 걱정하시는 것 같습니다. 대부분의 고객에게 이 변경은 큰 영향을 미치지 않을 것입니다. 하지만 몇 가지 확인해 볼 사항이 있습니다:

  1. 일반적인 브라우저나 플랫폼(Chrome, Firefox, Windows, Android 등)을 사용하는 경우 아무런 조치가 필요 없습니다. 이들은 이미 새로운 인증서 체인을 신뢰합니다.

  2. 만약 귀하의 애플리케이션이 Starfield Class 2 인증 기관만을 특별히 신뢰하도록 설정되어 있다면, 신뢰 저장소를 업데이트하여 Amazon CA들도 신뢰하도록 해야 합니다.

  3. 인증서 고정(certificate pinning)을 사용 중이라면, AWS 서비스 API 엔드포인트와 같이 완전히 제어할 수 없는 인증서에 대해서는 이를 피하는 것이 좋습니다.

  4. 이미 AWS 서비스나 지원 팀에 문의하셨다면, 추가 조치가 필요 없을 수 있습니다.

AWS 지원에 문의하는 것은 귀하의 AWS 지원 플랜에 따라 다릅니다. 기본 지원 플랜을 사용 중이라면 일반적인 계정 및 결제 문의는 무료입니다. 그러나 기술적인 지원을 받으려면 개발자, 비즈니스, 또는 엔터프라이즈 지원 플랜이 필요할 수 있습니다. 이러한 플랜들은 월별 요금이 부과됩니다.

만약 이 변경사항이 귀하의 시스템에 어떤 영향을 미칠지 확실하지 않다면, AWS 지원에 문의하는 것이 좋습니다. 그들은 귀하의 특정 상황을 평가하고 필요한 조치를 안내해줄 수 있습니다.
Sources
ACM will no longer cross sign certificates with Starfield Class 2 starting August 2024 | AWS Security Blog
AWS Certificate Manager Resources | Certificate Management | Amazon Web Services
Request a third party ACM CA certificate | AWS re:Post

profile picture
답변함 한 달 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠