Änderung der Zertifizierungsstelle und OCSP-Zulassungsliste für AWS-Kunden¶
Bemerkung
Die in diesem BCR genannten Änderungen betreffen nur Kunden, die Snowflake für AWS (einschließlich AWS PrivateLink) verwenden.
Änderungen¶
Im Rahmen des kontinuierlichen Engagements von Snowflake, die beste Sicherheit auf der Transportschicht (TLS) zu bieten, migrieren wir alle Endpunkte, die von Connectoren, Treibern, SQL API-Clients und allen PrivateLink-Endpunkten verwendet werden, auf einen neuen Lastenausgleichsstapel. Ein letzter Schritt dieser Migration verlagert die Beendigung von TLS-Sitzungen von Amazon Elastic Load Balancers auf von Snowflake verwaltete Envoy-Proxys.
Aus diesem Grund ändert Snowflake die TLS-Zertifizierungsstelle (CA), die die Zertifikate signiert, mit denen TLS Verbindungen zu seinen API-Endpunkten beendet, von Amazon Trust Services zu Digicert.
Bemerkung
Digicert wird bereits für die Azure- und GCP-Regionen von Snowflake verwendet.
Da Digicert CA-Zertifikate in den standardmäßigen Trust Stores aller wichtigen Betriebssysteme, Browser und Umgebungen von Clients vorhanden sind und das Erlauben der Listenausgabe an OCSP Responder eine seltene Konfiguration ist, wird diese Migration transparent sein und keine Änderungen für die Mehrheit der Snowflake-Kunden erforderlich machen.
Für den kleinen Teil der Kunden, die Netzwerk-Egress zulassen oder ihre CA-Trust Stores so anpassen, dass sie Digicert ausschließen, kann eine Aktualisierung der Konfiguration erforderlich sein:
Eine Aktualisierung der Trust Stores auf Betriebssystem- oder Anwendungsebene, um das Digicert CA-Stammzertifikat oder zwischengeschaltete Zertifikate einzubeziehen (gilt für PrivateLink und Nicht-PrivateLink-Konnektivität).
Eine Aktualisierung von Client-Firewalls und Egress-Proxys, um Anfragen an den
ocsp.digicert.comOCSP Responder-Endpunkt zuzulassen (gilt nur für Nicht-PrivateLink-Konnektivität).
Validierung¶
CA-Trust Store¶
Ihr Trust Store der TLS-Zertifizierungsstelle auf Betriebssystem-, Browser- oder Anwendungsebene muss das Zertifikat für Digicert Global Root G2, Serie 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5 enthalten.
Trust Stores für Betriebssysteme werden vom OS-Anbieter implementiert, und alle kürzlich gepatchten Betriebssysteme enthalten die Digicert Global Root G2-Zertifizierung in ihren Standard-Trust Stores. Bitte wenden Sie sich an Ihren OS-Anbieter, wenn Sie weitere Hilfe benötigen.
Weitere Informationen dazu finden Sie unter:
Wenn Sie von einer Java-Anwendung mit einem benutzerdefinierten Trust Store auf Snowflake zugreifen, können Sie überprüfen, ob Digicert Global Root G2 in der folgenden Ausgabe erscheint:
keytool -list -keystore <path_to_keystore_file>
OCSP-Zulassungsliste¶
Bemerkung
Dieses BCR erfordert keine Änderungen der OCSP-Zulassungsliste für Kunden, die Snowflake-Treiber für den Zugriff auf AWS PrivateLink-Endpunkte verwenden.
Kunden, die keine PrivateLink-Kunden sind, sollten sicherstellen, dass ihre Clients über eine ausgehende Netzwerkkonnektivität zu ocsp.digicert.com auf Port 80 verfügen, z. B. über curl:
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Allgemeine Anweisungen zu den Anforderungen der Firewall-Zulassungsliste und zur Validierung mit dem Tool SnowCD finden Sie unter SYSTEM$ALLOWLIST.
Zeitleiste¶
Wichtig
Dieses BCR ist eine Änderung außerhalb von Bundles. Diese Infrastrukturaktualisierung wird von Snowflake auf der unten aufgeführten Zeitleiste ausgeführt und ist nicht an den Snowflake Release-Zyklus oder das Tool Behavior Change Management gekoppelt. Es gibt keinen Self-Service-Mechanismus, mit dem Sie sich für oder gegen diese Änderung entscheiden können.
Diese Änderung wird schrittweise in allen Regionen von AWS vom 5. Januar bis zum 31. Januar 2025 erfolgen (verschoben von den zuvor angekündigten Terminen September–Oktober 2024).
Ref.: 1657