Änderung der Zertifizierungsstelle und OCSP-Zulassungsliste für AWS-Kunden

Bemerkung

Die in diesem BCR genannten Änderungen betreffen nur Kunden, die Snowflake für AWS (einschließlich AWS PrivateLink) verwenden.

Änderungen

Im Rahmen des kontinuierlichen Engagements von Snowflake, die beste Sicherheit auf der Transportschicht (TLS) zu bieten, migrieren wir alle Endpunkte, die von Connectoren, Treibern, SQL API-Clients und allen PrivateLink-Endpunkten verwendet werden, auf einen neuen Lastenausgleichsstapel. Ein letzter Schritt dieser Migration verlagert die Beendigung von TLS-Sitzungen von Amazon Elastic Load Balancers auf von Snowflake verwaltete Envoy-Proxys.

Aus diesem Grund ändert Snowflake die TLS-Zertifizierungsstelle (CA), die die Zertifikate signiert, mit denen TLS Verbindungen zu seinen API-Endpunkten beendet, von Amazon Trust Services zu Digicert.

Bemerkung

Digicert wird bereits für die Azure- und GCP-Regionen von Snowflake verwendet.

Da Digicert CA-Zertifikate in den standardmäßigen Trust Stores aller wichtigen Betriebssysteme, Browser und Umgebungen von Clients vorhanden sind und das Erlauben der Listenausgabe an OCSP Responder eine seltene Konfiguration ist, wird diese Migration transparent sein und keine Änderungen für die Mehrheit der Snowflake-Kunden erforderlich machen.

Für den kleinen Teil der Kunden, die Netzwerk-Egress zulassen oder ihre CA-Trust Stores so anpassen, dass sie Digicert ausschließen, kann eine Aktualisierung der Konfiguration erforderlich sein:

  1. Eine Aktualisierung der Trust Stores auf Betriebssystem- oder Anwendungsebene, um das Digicert CA-Stammzertifikat oder zwischengeschaltete Zertifikate einzubeziehen (gilt für PrivateLink und Nicht-PrivateLink-Konnektivität).

  2. Eine Aktualisierung von Client-Firewalls und Egress-Proxys, um Anfragen an den ocsp.digicert.com OCSP Responder-Endpunkt zuzulassen (gilt nur für Nicht-PrivateLink-Konnektivität).

Validierung

CA-Trust Store

Ihr Trust Store der TLS-Zertifizierungsstelle auf Betriebssystem-, Browser- oder Anwendungsebene muss das Zertifikat für Digicert Global Root G2, Serie 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5 enthalten.

Trust Stores für Betriebssysteme werden vom OS-Anbieter implementiert, und alle kürzlich gepatchten Betriebssysteme enthalten die Digicert Global Root G2-Zertifizierung in ihren Standard-Trust Stores. Bitte wenden Sie sich an Ihren OS-Anbieter, wenn Sie weitere Hilfe benötigen.

Weitere Informationen dazu finden Sie unter:

Wenn Sie von einer Java-Anwendung mit einem benutzerdefinierten Trust Store auf Snowflake zugreifen, können Sie überprüfen, ob Digicert Global Root G2 in der folgenden Ausgabe erscheint:

keytool -list -keystore <path_to_keystore_file>
Copy

OCSP-Zulassungsliste

Bemerkung

Dieses BCR erfordert keine Änderungen der OCSP-Zulassungsliste für Kunden, die Snowflake-Treiber für den Zugriff auf AWS PrivateLink-Endpunkte verwenden.

Kunden, die keine PrivateLink-Kunden sind, sollten sicherstellen, dass ihre Clients über eine ausgehende Netzwerkkonnektivität zu ocsp.digicert.com auf Port 80 verfügen. Beachten Sie, dass die curl-URL das Protokoll http und nicht https verwenden muss. Die Verwendung von https führt zu einem TLS-Fehler.

curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Copy

Allgemeine Anweisungen zu den Anforderungen der Firewall-Zulassungsliste und zur Validierung mit dem Tool SnowCD finden Sie unter SYSTEM$ALLOWLIST.

Zeitleiste

Wichtig

Dieses BCR ist eine Änderung außerhalb von Bundles. Diese Infrastrukturaktualisierung wird von Snowflake auf der unten aufgeführten Zeitleiste ausgeführt und ist nicht an den Snowflake Release-Zyklus oder das Tool Behavior Change Management gekoppelt. Es gibt keinen Self-Service-Mechanismus, mit dem Sie sich für oder gegen diese Änderung entscheiden können. Zur Validierung und zum Testen wenden Sie sich an das Support-Team, um einzelne Konten zum Testen der Konnektivität zu aktivieren, die nicht von PrivateLink stammt. Für die Validierung von PrivateLink wird Snowflake bis Februar 2025 Unterstützung für die Opt-in-Möglichkeit auf Kontoebene bieten.

Diese Änderung wird schrittweise in allen AWS-Regionen vom 5. Januar bis zum 31. Januar 2025 (verschoben von den zuvor angekündigten Terminen September bis Oktober 2024) für den gesamten Datenverkehr erfolgen, der nicht PrivateLink betrifft. Für den PrivateLink-Datenverkehr wird die Änderung vom 2. April bis zum 30. April 2025 in allen AWS-Regionen eingeführt.

Ref.: 1657