AWS 顧客向けの認証局および OCSP 許可リストの変更

注釈

この BCR で言及されている変更は、 AWS (AWS PrivateLink を含む)でSnowflakeを使用しているお客様にのみ影響します。

変更

クラス最高のTransport Layer Security(TLS)を提供するというSnowflakeの継続的なコミットメントの一環として、コネクタ、ドライバー、 SQL API クライアント、およびすべての PrivateLink エンドポイントによって使用されるすべてのエンドポイントを新しい負荷分散スタックに移行します。この移行の最後のステップでは、 TLS セッションの終了をAmazon Elastic Load BalancersからSnowflake管理のEnvoyプロキシに移行します。

その結果、Snowflakeは、 TLS 認証局(CA)が API エンドポイントへの TLS 接続の終了に使用する証明書に署名する機関を、Amazon Trust ServicesからDigicertに変更します。

注釈

Digicertは、すでにSnowflakeのAzureおよび GCP リージョンで使用されています。

Digicert CA 証明書は、すべての主要なオペレーティングシステム、ブラウザー、およびクライアント環境のデフォルトのトラストストアに存在し、 OCSP レスポンダーへのエグレスを許可する構成はまれであるため、この移行は透過的であり、 大半のSnowflake顧客においては変更が必要ありません

許可リストネットワークをエグレスしたり、 CA のトラストストアをカスタマイズしてDigicertを除外したりしているごく一部の顧客においては、構成の更新が必要になる場合があります。

  1. Digicert CA ルート証明書、または中間証明書を含める(PrivateLink および PrivateLink 以外の接続に適用)ための、オペレーティングシステムまたはアプリケーションレベルのトラストストアの更新。

  2. ocsp.digicert.com OCSP レスポンダーエンドポイントへのリクエストを許可するための、クライアントファイアウォールおよびエグレスプロキシの更新(PrivateLink 以外の接続にのみ適用)。

検証

CA トラストストア

オペレーティングシステム、ブラウザー、またはアプリケーションレベル TLS 認証局のトラストストアには、Digicert Global Root G2、シリアル 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5 の証明書が含まれている必要があります。

オペレーティングシステムのトラストストアは、 OS プロバイダーによって実装され、最近パッチを適用したオペレーティングシステムにはすべて、デフォルトのトラストストアにDigicert Global Root G2証明書が含まれています。さらなるサポートについては、 OS ベンダーにお問い合わせください。

詳細については、次をご参照ください。

カスタムのトラストストアを持つJavaアプリケーションからSnowflakeにアクセスする場合は、次の出力に表示されるDigicert Global Root G2で検証できます。

keytool -list -keystore <path_to_keystore_file>
Copy

OCSP 許可リスト

注釈

Snowflakeドライバーを使用して AWS PrivateLink エンドポイントにアクセスしているお客様の場合、この BCR には OCSP 許可リストの変更は必要ありません。

PrivateLink以外のお客様は、クライアントがポート 80ocsp.digicert.com にアウトバウンドネットワーク接続できることを検証する必要があります(例: curl を使用)。

curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Copy

ファイアウォール許可リストの要件と SnowCD ツールを使用した検証に関する一般的な手順については、 SYSTEM$ALLOWLIST をご参照ください。

タイムライン

重要

この BCR は、 バンドル化されていない変更 です。このインフラストラクチャの更新は、以下のタイムラインでSnowflakeによって実行され、Snowflakeのリリースサイクルや 動作変更の管理 ツールとは連動しません。この変更をオプトインまたはオプトアウトするためのセルフサービスメカニズムはありません。

この変更は、2025年1月5日から1月31日まで、すべての AWS リージョンで順次実行されます(以前に発表の2024年9月から10月の日程から延期)。

参照: 1657

言語: 日本語