AWS 顧客向けの認証局および OCSP 許可リストの変更¶
注釈
この BCR で言及されている変更は、 AWS (AWS PrivateLink を含む)でSnowflakeを使用しているお客様にのみ影響します。
変更¶
クラス最高のTransport Layer Security(TLS)を提供するというSnowflakeの継続的なコミットメントの一環として、コネクタ、ドライバー、 SQL API クライアント、およびすべての PrivateLink エンドポイントによって使用されるすべてのエンドポイントを新しい負荷分散スタックに移行します。この移行の最後のステップでは、 TLS セッションの終了をAmazon Elastic Load BalancersからSnowflake管理のEnvoyプロキシに移行します。
その結果、Snowflakeは、 TLS 認証局(CA)が API エンドポイントへの TLS 接続の終了に使用する証明書に署名する機関を、Amazon Trust ServicesからDigicertに変更します。
注釈
Digicertは、すでにSnowflakeのAzureおよび GCP リージョンで使用されています。
Digicert CA 証明書は、すべての主要なオペレーティングシステム、ブラウザー、およびクライアント環境のデフォルトのトラストストアに存在し、 OCSP レスポンダーへのエグレスを許可する構成はまれであるため、この移行は透過的であり、 大半のSnowflake顧客においては変更が必要ありません。
許可リストネットワークをエグレスしたり、 CA のトラストストアをカスタマイズしてDigicertを除外したりしているごく一部の顧客においては、構成の更新が必要になる場合があります。
Digicert CA ルート証明書、または中間証明書を含める(PrivateLink および PrivateLink 以外の接続に適用)ための、オペレーティングシステムまたはアプリケーションレベルのトラストストアの更新。
ocsp.digicert.com
OCSP レスポンダーエンドポイントへのリクエストを許可するための、クライアントファイアウォールおよびエグレスプロキシの更新(PrivateLink 以外の接続にのみ適用)。
検証¶
CA トラストストア¶
オペレーティングシステム、ブラウザー、またはアプリケーションレベル TLS 認証局のトラストストアには、Digicert Global Root G2、シリアル 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
の証明書が含まれている必要があります。
オペレーティングシステムのトラストストアは、 OS プロバイダーによって実装され、最近パッチを適用したオペレーティングシステムにはすべて、デフォルトのトラストストアにDigicert Global Root G2証明書が含まれています。さらなるサポートについては、 OS ベンダーにお問い合わせください。
詳細については、次をご参照ください。
カスタムのトラストストアを持つJavaアプリケーションからSnowflakeにアクセスする場合は、次の出力に表示されるDigicert Global Root G2で検証できます。
keytool -list -keystore <path_to_keystore_file>
OCSP 許可リスト¶
注釈
Snowflakeドライバーを使用して AWS PrivateLink エンドポイントにアクセスしているお客様の場合、この BCR には OCSP 許可リストの変更は必要ありません。
PrivateLink以外のお客様は、クライアントがポート 80
で ocsp.digicert.com
にアウトバウンドネットワーク接続できることを確認する必要があります。curl
urlは、 https
ではなく、 http
プロトコルを使用しなければならないことに注意してください。https
を使用すると、 TLS エラーが発生します。
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
ファイアウォール許可リストの要件と SnowCD ツールを使用した検証に関する一般的な手順については、 SYSTEM$ALLOWLIST をご参照ください。
Privatelinkの早期導入オプトイン検証¶
早期導入プログラムにオプトインしたPrivatelinkのお客様には、以下を検証するためのいくつかのオプションがあります。
プライベート接続でSnowsightを使用する。詳細については、 :ref:`プライベート接続の手順 <label-ui_snowsight_gs_private_connectivity>`をご参照ください。Snowsightに接続できたら、Digicert CAの更新に必要な設定が正しく行われています。
プライベートリンク URLのあるSnowflakeドライバーを使用する。詳細については、:ref:`プライベートリンクの手順付きSnowflakeドライバー <label-aws_privatelink_client_hostname>`をご参照ください。クエリを実行できる場合は、DigicertCA の更新に必要な設定が正しく行われています。
Privatelinkテスト用にアカウントを選択した場合は、次のコマンドを実行してそのアカウントがDigicert CAに移行したことを確認できます。
curl -v 'https://<privatelink hostname>/console'
...
Server certificate:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
HTTP/1.1 200 OK
...
応答には、Digicert Global G2が含まれるサーバー証明書セクションが表示されます。実行すると、アカウントは現在、DigicertCAにあります。サーバー証明書セクションで発行者としてAmazon が表示されている場合、アカウントはまだACM 証明書にあります。
または、次のコマンドを実行することもできます。
openssl s_client -connect <privatelink hostname>:443 -showcerts
...
Certificate chain:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
Verification: OK
...
チェーンにDigicert G2証明書が表示されている場合、アカウントは現在Digicert CAにあります。チェーンにAmazon証明書が表示されている場合、アカウントはまだACM 証明書にあります 。
注釈
NLB インフラストラクチャの制限事項により、 PrivateLink ホスト名でのアンダースコアの使用をサポートできません。検証中にAmazon 証明書が引き続き表示される場合は、アンダースコアをハイフンに置き換えてみてください。この問題は、初期のオプトインテスト(初期のオプトインフェーズでDigicert証明書を取得する)のみに影響します。移行が完了すると、ホスト名でアンダースコアを引き続き使用できるようになります。
タイムライン¶
重要
この BCR は、 バンドル化されていない変更 です。このインフラストラクチャの更新は、以下のタイムラインでSnowflakeによって実行され、Snowflakeのリリースサイクルや 動作変更の管理 ツールとは連動しません。この変更をオプトインまたはオプトアウトするためのセルフサービスメカニズムはありません。検証およびテストについては、サポートチームまでご連絡いただき、PrivateLink以外の接続テストに対して個々のアカウントのオプトインを行ってください。PrivateLinkの検証の場合、Snowflakeではアカウントレベルの早期導入者オプトインに対応しています。
PrivateLinkトラフィック以外は、2025年1月にこの変更がすべてのAWSリージョンに適用されました(一部例外あり)。2025年7月から、これらの例外を段階的に削除します。PrivateLinkトラフィックの場合は、2025年6月23日から早期導入のオプトインテストを提供します。すべての人にテストと検証の期間として2か月間を提供します。デプロイの大規模な変更は、2025年9月からAWSリージョンすべてで展開されます。
参照:1657