Posso fixar um aplicativo que está sendo executado na AWS em um certificado emitido pelo ACM?

3 minuto de leitura
0

Quero saber se consigo fixar um aplicativo que está sendo executado na AWS em um certificado emitido pelo AWS Certificate Manager (ACM).

Breve descrição

Não é uma prática recomendada fixar seu aplicativo em um certificado SSL/TLS emitido pelo ACM. Se você fizer isso, fornecerá ao navegador um ID para a chave pública usada no site. Se um usuário visitar o site, o ID será armazenado em cache pelo navegador. Esse ID também é usado para verificar a chave pública durante visitas futuras. As informações do ID geralmente são incluídas no cabeçalho da resposta HTTP e no tempo de vida (TTL) do ID. Se o certificado for alterado, por exemplo, quando o certificado for renovado, essa alteração poderá fazer com que os visitantes do site recebam erros. Esses erros ocorrem porque não é possível estabelecer uma conexão segura com o site. Para mais informações, consulte Fixação de certificados.

Importante: A partir de 11 de outubro de 2022, às 9h, horário do Pacífico, os certificados públicos obtidos por meio do ACM são emitidos por uma das CAs intermediárias que a Amazon gerencia. Várias CAs intermediárias se conectam a uma CA raiz existente do Amazon Trust Services. Com essa alteração, os certificados "leaf" emitidos para você são assinados por diferentes CAs intermediárias. Antes dessa mudança, a Amazon mantinha um número limitado de CAs intermediárias e emitia e renovava certificados das mesmas CAs intermediárias. Para obter mais informações, consulte Amazon introduces dynamic intermediate certificate authorities.

Resolução

É uma prática recomendada fixar seu aplicativo a uma autoridade de certificação (CA) raiz em vez de a um certificado individual ou intermediário da CA. Ao fixar um aplicativo em uma CA do Amazon Trust Services, fixe o mesmo aplicativo em todas as CAs na tabela de serviços de confiança da Amazon.

Observação: Você deve selecionar todas as CAs às quais você fixa seu aplicativo porque, quando você solicita um certificado, o ACM não especifica a origem desse certificado.

Para fixar um certificado, use uma das opções a seguir para garantir que o aplicativo possa se conectar ao domínio.

Fixe seu aplicativo em um certificado raiz da Amazon

Quando você fixa seu aplicativo no nível do certificado raiz, a renovação gerenciada pelo ACM renova o certificado sob a mesma CA que emitiu o certificado. O nome do recurso da Amazon (ARN) do certificado permanece o mesmo. Você também pode fixar seu aplicativo em várias CAs como backup. Se o certificado expirar, é possível solicitar um novo certificado e aplicá-lo ao seu balanceador de carga para reduzir o tempo de inatividade do aplicativo.

Importe seu próprio certificado para o ACM e, em seguida, fixe seu aplicativo no certificado importado

Os certificados importados não são renovados pelo processo de renovação gerenciado pelo ACM. Você deve gerenciar a renovação do certificado e das chaves. Para mais informações, consulte Importação de certificados para o AWS Certificate Manager.

Informações relacionadas

Melhores práticas do ACM

Problemas de fixação de certificados

AWS OFICIAL
AWS OFICIALAtualizada há um ano