Änderung der Zertifizierungsstelle und OCSP-Zulassungsliste für AWS-Kunden¶
Bemerkung
Die in diesem BCR genannten Änderungen betreffen nur Kunden, die Snowflake für AWS (einschließlich AWS PrivateLink) verwenden.
Änderungen¶
Im Rahmen des kontinuierlichen Engagements von Snowflake, die beste Sicherheit auf der Transportschicht (TLS) zu bieten, migrieren wir alle Endpunkte, die von Connectoren, Treibern, SQL API-Clients und allen PrivateLink-Endpunkten verwendet werden, auf einen neuen Lastenausgleichsstapel. Ein letzter Schritt dieser Migration verlagert die Beendigung von TLS-Sitzungen von Amazon Elastic Load Balancers auf von Snowflake verwaltete Envoy-Proxys.
Aus diesem Grund ändert Snowflake die TLS-Zertifizierungsstelle (CA), die die Zertifikate signiert, mit denen TLS Verbindungen zu seinen API-Endpunkten beendet, von Amazon Trust Services zu Digicert.
Bemerkung
Digicert wird bereits für die Azure- und GCP-Regionen von Snowflake verwendet.
Da Digicert CA-Zertifikate in den standardmäßigen Trust Stores aller wichtigen Betriebssysteme, Browser und Umgebungen von Clients vorhanden sind und das Erlauben der Listenausgabe an OCSP Responder eine seltene Konfiguration ist, wird diese Migration transparent sein und keine Änderungen für die Mehrheit der Snowflake-Kunden erforderlich machen.
Für den kleinen Teil der Kunden, die Netzwerk-Egress zulassen oder ihre CA-Trust Stores so anpassen, dass sie Digicert ausschließen, kann eine Aktualisierung der Konfiguration erforderlich sein:
Eine Aktualisierung der Trust Stores auf Betriebssystem- oder Anwendungsebene, um das Digicert CA-Stammzertifikat oder zwischengeschaltete Zertifikate einzubeziehen (gilt für PrivateLink und Nicht-PrivateLink-Konnektivität).
Eine Aktualisierung von Client-Firewalls und Egress-Proxys, um Anfragen an den
ocsp.digicert.com
OCSP Responder-Endpunkt zuzulassen (gilt nur für Nicht-PrivateLink-Konnektivität).
Validierung¶
CA-Trust Store¶
Ihr Trust Store der TLS-Zertifizierungsstelle auf Betriebssystem-, Browser- oder Anwendungsebene muss das Zertifikat für Digicert Global Root G2, Serie 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
enthalten.
Trust Stores für Betriebssysteme werden vom OS-Anbieter implementiert, und alle kürzlich gepatchten Betriebssysteme enthalten die Digicert Global Root G2-Zertifizierung in ihren Standard-Trust Stores. Bitte wenden Sie sich an Ihren OS-Anbieter, wenn Sie weitere Hilfe benötigen.
Weitere Informationen dazu finden Sie unter:
Wenn Sie von einer Java-Anwendung mit einem benutzerdefinierten Trust Store auf Snowflake zugreifen, können Sie überprüfen, ob Digicert Global Root G2 in der folgenden Ausgabe erscheint:
keytool -list -keystore <path_to_keystore_file>
OCSP-Zulassungsliste¶
Bemerkung
Dieses BCR erfordert keine Änderungen der OCSP-Zulassungsliste für Kunden, die Snowflake-Treiber für den Zugriff auf AWS PrivateLink-Endpunkte verwenden.
Kunden, die keine PrivateLink-Kunden sind, sollten sicherstellen, dass ihre Clients über eine ausgehende Netzwerkkonnektivität zu ocsp.digicert.com
auf Port 80
verfügen. Beachten Sie, dass die curl
-URL das Protokoll http
und nicht https
verwenden muss. Die Verwendung von https
führt zu einem TLS-Fehler.
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Allgemeine Anweisungen zu den Anforderungen der Firewall-Zulassungsliste und zur Validierung mit dem Tool SnowCD finden Sie unter SYSTEM$ALLOWLIST.
Privatelink Early Adopter Opt-In-Validierung¶
Privatelink-Kunden, die sich für das Early Adopter-Programm entschieden haben, haben mehrere Optionen, um zu validieren:
Verwenden Sie Snowsight mit privater Konnektivität. Weitere Informationen finden Sie unter Anweisungen für private Konnektivität. Wenn Sie eine Verbindung zu Snowsight herstellen können, haben Sie die richtige Konfiguration für Digicert CA-Update.
Verwenden Sie einen beliebigen Snowflake-Treiber mit einer Privatelink-URL. Weitere Informationen finden Sie unter Snowflake-Treiber mit Anleitung für Privatelink. Wenn Sie Abfragen ausführen können, haben Sie die richtige Konfiguration für Digicert URL-Update.
Wenn Sie für ein Konto in für PrivateLink-Tests aktiviert haben, können Sie die folgenden Befehle ausführen, um zu bestätigen, dass das Konto in Digicert CA migriert wurde:
curl -v 'https://<privatelink hostname>/console'
...
Server certificate:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
HTTP/1.1 200 OK
...
In der Antwort sollten Sie einen Abschnitt für Serverzertifikate sehen, die Digicert Global G2 enthalten. Wenn Sie dies tun, befindet sich Ihr Konto derzeit in Digicert CA. Wenn Sie im Abschnitt „Server Certificate“ Amazon als Aussteller sehen, befindet sich Ihr Konto immer noch in ACM-Zertifikaten.
Alternativ können Sie auch den folgenden Befehl ausführen:
openssl s_client -connect <privatelink hostname>:443 -showcerts
...
Certificate chain:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
Verification: OK
...
Wenn Sie das Digicert G2-Zertifikat in der Kette sehen, befindet sich Ihr Konto derzeit in Digicert CA. Wenn Sie Amazon-Zertifikate in der Kette sehen, befindet sich Ihr Konto noch in ACM-Zertifikaten.
Bemerkung
Aufgrund einiger Beschränkungen unserer NLB-Infrastruktur können wir die Verwendung von Unterstrichen im PrivateLink-Hostname nicht unterstützen. Wenn Sie während der Validierung immer noch Amazon-Zertifikate sehen, versuchen Sie, die Unterstriche durch Bindestriche zu ersetzen. Dieses Problem betrifft nur frühe Opt-in-Tests (Abrufen des Digicert-Zertifikats während der frühen Opt-in-Phase). Sobald die Migration abgeschlossen ist, können Sie wieder Unterstriche in Hostnamen verwenden.
Zeitleiste¶
Wichtig
Dieses BCR ist eine Änderung außerhalb von Bundles. Diese Infrastrukturaktualisierung wird von Snowflake auf der unten aufgeführten Zeitleiste ausgeführt und ist nicht an den Snowflake Release-Zyklus oder das Tool Behavior Change Management gekoppelt. Es gibt keinen Self-Service-Mechanismus, mit dem Sie sich für oder gegen diese Änderung entscheiden können. Zur Validierung und für Tests wenden Sie sich bitte an das Support-Team, um einzelne Konten für Konnektivitätstests ohne PrivateLink zu aktivieren. Für die Validierung von PrivateLink bietet Snowflake Unterstützung für das Opt-in auf Kontoebene.
Für Nicht-PrivateLink-Datenverkehr wurde diese Änderung im Januar 2025 auf alle AWS-Regionen mit einigen Ausnahmen angewendet. Wir werden diese Ausnahmen ab Juli 2025 schrittweise aufheben. Für PrivateLink-Datenverkehr bieten wir ab dem 23. Juni 2025 einen Opt-in-Test für Early Adopter an. Wir geben allen 2 Monate Zeit zum Testen und zur Validierung. Bereitstellungsweite Änderungen werden ab September 2025 auf alle AWS-Regionen übertragen.
Ref.: 1657