認証局の多様化と、証明書の有効期間の短縮化¶
注釈
この変更は保留中です。
最高水準のトランスポート層セキュリティ(TLS)を提供するというSnowflakeの継続的な取り組みの一環として、既存のプロバイダーに加えて、追加の認証局(CA)プロバイダーとしてLet's EncryptとGoogle Trust Servicesを導入します。Snowflakeが所有するエンドポイントに接続する際に、これらのCAsによって発行された証明書が表示される場合があります。また、当社は今後のCA/ブラウザフォーラムの基準を満たし、それを上回るよう、証明書の有効期間の短縮にも取り組んでいます。
この個別の変更は、ほとんどのドライバーがSnowflakeへの接続に使用するエンドポイント(具体的には:doc:`SYSTEM$ALLOWLIST </sql-reference/functions/system_allowlist>`および:doc:`SYSTEM$ALLOWLIST_PRIVATELINK</sql-reference/functions/system_allowlist_privatelink>`によって返される``SNOWFLAKE_DEPLOYMENT``型および``SNOWFLAKE_DEPLOYMENT_REGIONLESS``型)には影響しません。既存のエンドポイントで利用可能なCAsのリストが拡大される場合は、別途通知をお送りします。
この個別の変更は、Snowflakeが所有し、:doc:`SYSTEM$ALLOWLIST</sql-reference/functions/system_allowlist>`および:doc:`SYSTEM$ALLOWLIST_PRIVATELINK </sql-reference/functions/system_allowlist_privatelink>`(``SNOWSIGHT_DEPLOYMENT``など)によって返されるその他のドメインに影響を与える可能性があります。Webブラウザを介してSnowflakeサービスにアクセスする場合、SPCSエンドポイントにプログラムでアクセスする場合、または高性能アーキテクチャでSnowpipe Streamingを使用する場合に、これらの新しい証明書が表示される可能性があります。
``app.snowflake.com``を含む少数のSnowflakeサイトでは、2026年より前から、これらのCAsの一部によって発行された証明書を既に使用していました。
検証¶
オペレーティングシステム、ブラウザ、またはアプリケーションレベルのTLS認証局トラストストアには、`<https://letsencrypt.org/certificates/>`_および`<https://pki.goog/repository/>`_に記載されているルートCA証明書が含まれている必要があります。これらのCA証明書は、すべての主要なオペレーティングシステム、ブラウザ、およびクライアント環境のデフォルトのトラストストアに存在するため、この移行は透過的に行われ、大多数のSnowflakeのお客様は変更を行う必要はありません。
以下にリストされているテストWebサイトに接続して、これらのCAsによって発行された証明書を信頼していることを確認できます。
ルートCA |
テストURL |
|---|---|
ISRG Root X1 |
|
ISRG Root X2 |
|
GTS Root R1 |
|
GTS Root R2 |
|
GTS Root R3 |
|
GTS Root R4 |
|
GlobalSign R4 |
オペレーティングシステムのトラストストアはOSプロバイダーによって実装されており、最近パッチが適用されたすべてのオペレーティングシステムのデフォルトトラストストアには十分な証明書が含まれています。さらなるサポートについては、 OS ベンダーにお問い合わせください。`Mozilla CA/Included Certificatesリスト<https://wiki.mozilla.org/CA/Included_Certificates>`_にある任意のCAからの証明書を受け入れることをクライアントにお勧めします。
参照:2255