Changement d’autorité de certification et liste d’autorisations OCSP pour les clients AWS¶
Note
Les changements mentionnés dans ce BCR affecte uniquement les clients utilisant Snowflake sur AWS (y compris AWS PrivateLink).
Changements¶
Dans le cadre de l’engagement continu de Snowflake à fournir la meilleure sécurité de couche de transport (TLS) de sa catégorie, nous migrons tous les points de terminaison utilisés par les connecteurs, les pilotes, les clients d’API SQL et tous les points de terminaison PrivateLink vers une nouvelle pile d’équilibrage de charge. La dernière étape de cette migration consiste à transférer la terminaison des sessions TLS des Amazon Elastic Load Balancers vers les proxys Envoy gérés par Snowflake.
Par conséquent, Snowflake modifie l’autorité de certification TLS (CA) qui signe les certificats utilisés pour terminer les connexions TLS à ses points de terminaison API, passant d’Amazon Trust Services à Digicert.
Note
Digicert est déjà utilisé pour Azure de Snowflake et les régions GCP.
Étant donné que les certificats CA Digicert sont présents dans les listes de confiance par défaut de tous les principaux systèmes d’exploitation, navigateurs et environnements clients, et que la sortie des listes d’autorisations vers les répondeurs OCSP est une configuration rare, cette migration sera transparente et ne nécessitera aucun changement pour la majorité des clients de Snowflake.
Pour la petite fraction de clients qui autorisent la sortie du réseau ou personnalisent leur CA magasins de confiance pour exclure Digicert, des mises à jour de configuration peuvent être nécessaires :
Une mise à jour des magasins de confiance au niveau du système d’exploitation ou de l’application pour inclure le certificat racine CA Digicert ou les intermédiaires (s’applique à PrivateLink et non-PrivateLink connectivité).
Une mise à jour des pare-feu clients et des proxys de sortie pour autoriser les requêtes vers le point de terminaison du répondeur OCSP
ocsp.digicert.com(s’applique uniquement à la connectivité non PrivateLink).
Validation¶
Magasin de confiance CA¶
Le magasin de confiance de l’autorité de certification TLS au niveau du système d’exploitation, du navigateur ou de l’application doit contenir le certificat pour Digicert Global Root G2, numéro de série 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5.
Les magasins de confiance du système d’exploitation sont implémentés par le fournisseur de OS et tous les systèmes d’exploitation récemment corrigés contiennent la certification Digicert Global Root G2 dans leurs magasins de confiance par défaut. Veuillez contacter le fournisseur de votre OS pour une assistance supplémentaire.
Pour plus d’informations, voir ce qui suit :
Si vous accédez à Snowflake à partir d’une application Java avec un magasin de confiance personnalisé, vous pouvez vérifier que Digicert Global Root G2 apparaît dans la sortie de :
keytool -list -keystore <path_to_keystore_file>
Liste d’autorisations OCSP¶
Note
Ce BCR ne nécessite aucune modifications de la liste d’autorisations OCSP pour les clients utilisant les pilotes Snowflake pour accéder aux points de terminaison AWS PrivateLink.
Les clients non-privatelink doivent vérifier que leurs clients disposent d’une connectivité réseau sortante vers ocsp.digicert.com sur le port 80, par exemple en utilisant curl :
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Pour obtenir des instructions générales sur les exigences et la validation de la liste d’autorisations du pare-feu à l’aide de l’outil SnowCD, voir SYSTEM$ALLOWLIST.
Chronologie¶
Important
Ce BCR est un Changement hors bundle. Cette mise à jour de l’infrastructure sera exécutée par Snowflake selon le calendrier ci-dessous et n’est pas couplée au cycle de publication de Snowflake ou à l’outil de gestion des changements de comportement. Il n’existe aucun mécanisme de libre-service permettant d’accepter ou de refuser ce changement.
Ce changement se produira progressivement dans toutes les régions AWS du 5 janvier au 31 janvier 2025 (reportées par rapport aux dates précédemment annoncées de septembre à octobre 2024).
Réf : 1657