사용자 지정 인증 기관 및 AWS 고객에 대한 OCSP 허용 목록 변경¶
참고
이 BCR에서 언급되는 변경 사항은 AWS(AWS PrivateLink 포함)에서 Snowflake를 사용하는 고객에게만 영향을 미칩니다.
변경 사항¶
동급 최고의 전송 계층 보안(TLS)을 제공하기 위한 Snowflake의 지속적인 노력의 일환으로 커넥터, 드라이버, SQL API 클라이언트 및 모든 PrivateLink 엔드포인트에서 사용하는 모든 엔드포인트를 새로운 로드 밸런싱 스택으로 마이그레이션하고 있습니다. 이 마이그레이션의 마지막 단계는 TLS 세션 종료를 Amazon Elastic Load Balancers에서 Snowflake가 관리하는 Envoy 프록시로 이동하는 것입니다.
그 결과, Snowflake는 API 엔드포인트에 대한 TLS 연결을 종료하는 데 사용하는 인증서에 서명하는 TLS 인증 기관(CA)을 Amazon Trust Services에서 Digicert로 변경하는 중입니다.
참고
Digicert는 이미 Snowflake의 Azure 및 GCP 리전에서 사용되고 있습니다.
Digicert CA 인증서는 모든 주요 운영 체제, 브라우저 및 클라이언트 환경의 기본 신뢰 저장소에 있고 OCSP 응답자에 대한 발신 허용 목록은 드문 구성이므로 이 마이그레이션은 투명하며 대부분의 Snowflake 고객은 변경할 필요가 없습니다.
네트워크 발신 허용 목록에 추가하거나 Digicert를 제외하도록 CA 신뢰 저장소를 사용자 지정하는 소수의 고객의 경우, 구성 업데이트가 필요할 수 있습니다.
운영 체제 또는 애플리케이션 수준 신뢰 저장소를 업데이트하여 Digicert CA 루트 인증서 또는 중간 인증서(PrivateLink 및 PrivateLink 이외의 연결에 적용)를 포함시킵니다.
클라이언트 방화벽 및 송신 프록시를 업데이트하여
ocsp.digicert.com
OCSP 응답자 엔드포인트에 대한 요청을 허용합니다(PrivateLink 연결이 아닌 경우에만 적용).
유효성 검사¶
CA 신뢰 저장소¶
운영 체제, 브라우저 또는 애플리케이션 레벨 TLS 인증 기관 신뢰 저장소에 Digicert Global Root G2, 일련 번호 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
에 대한 인증서가 포함되어 있어야 합니다.
운영 체제 신뢰 저장소는 OS 공급자에 의해 구현되며 최근에 패치된 모든 운영 체제에는 기본 신뢰 저장소에 Digicert Global Root G2 인증이 포함되어 있습니다. 추가 지원이 필요한 경우 OS 공급업체에 문의하십시오.
자세한 내용은 다음을 참조하십시오.
사용자 지정 신뢰 저장소가 있는 Java 애플리케이션에서 Snowflake에 액세스하는 경우, Digicert Global Root G2가 출력에 표시되는지 확인할 수 있습니다.
keytool -list -keystore <path_to_keystore_file>
OCSP 허용 목록¶
참고
이 BCR에서 Snowflake 드라이버를 사용하는 고객은 AWS PrivateLink 엔드포인트에 액세스하기 위해 OCSP 허용 목록을 변경할 필요가 없습니다.
Privatelink가 아닌 고객은 클라이언트가 포트 80
에서 ocsp.digicert.com
에 대한 아웃바운드 네트워크 연결이 있는지 확인해야 합니다. curl
URL은 https
가 http
프로토콜을 사용해야 합니다. https
를 사용하면 TLS 오류가 발생합니다.
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
방화벽 허용 목록 요구 사항 및 SnowCD 도구를 사용한 유효성 검사에 대한 일반적인 지침은 SYSTEM$ALLOWLIST 섹션을 참조하십시오.
Privatelink 얼리어답터 옵트인 유효성 검사¶
얼리어답터 프로그램에 옵트인한 Privatelink 고객은 다음과 같은 몇 가지 유효성 검사 옵션을 사용할 수 있습니다.
비공개 연결로 Snowsight를 사용합니다. 자세한 내용은 비공개 연결 지침 을 참조하세요. Snowsight에 연결할 수 있으면 Digicert CA 업데이트에 대한 올바른 구성이 있는 것입니다.
privatelink URL이 있는 Snowflake 드라이버를 사용합니다. 자세한 내용은 비공개 링크 지침이 포함된 Snowflake 드라이버 를 참조하세요. 쿼리를 실행할 수 있으면 Digicert CA 업데이트에 대한 올바른 구성이 있는 것입니다.
Privatelink 테스트를 위해 계정을 선택한 경우 다음 명령을 실행하여 계정이 Digicert CA로 마이그레이션되었는지 확인할 수 있습니다.
curl -v 'https://<privatelink hostname>/console'
...
Server certificate:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
HTTP/1.1 200 OK
...
응답에 Digicert Global G2가 포함된 서버 인증서 섹션이 표시되어야 합니다. 그렇게 하면 현재 계정이 Digicert CA에 있는 것입니다. 서버 인증서 섹션에서 Amazon이 발급자로 표시되면 계정이 여전히 ACM 인증서에 있는 것입니다.
또는 다음 명령을 실행할 수 있습니다.
openssl s_client -connect <privatelink hostname>:443 -showcerts
...
Certificate chain:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
Verification: OK
...
체인에 Digicert G2 인증서가 표시되면 계정이 현재 Digicert CA에 있는 것입니다. 체인에 Amazon 인증서가 표시되면 계정이 여전히 ACM 인증서에 있는 것입니다.
참고
NLB 인프라의 몇 가지 제한 사항으로 인해 PrivateLink 호스트 이름에서는 밑줄을 사용할 수 없습니다. 유효성 검사 중에 Amazon 인증서가 계속 표시되면 밑줄을 하이픈으로 바꿔 보세요. 이 문제는 조기 옵트인 테스트(조기 옵트인 단계 중에 Digicert 인증서 받기)에만 영향을 미칩니다. 마이그레이션이 완료되면 호스트 이름에 밑줄을 계속 사용할 수 있습니다.
타임라인¶
중요
이 BCR은 번들로 제공되지 않는 변경 입니다. 이 인프라 업데이트는 아래 일정에 따라 Snowflake에 의해 수행되며, Snowflake 릴리스 주기 또는 Behavior Change Management 도구와 연계되지 않습니다. 이 변경에 동의하거나 거부할 수 있는 셀프 서비스 방법은 없습니다. 검증과 테스트를 위해 지원팀에 문의하여 PrivateLink 가 아닌 연결 테스트에 개별 계정을 옵트인하십시오. PrivateLink 검증을 위해 Snowflake는 계정 수준의 얼리어답터 옵트인 지원을 제공할 예정입니다.
PrivateLink 이외의 트래픽에서 이 변경 사항은 일부 예외를 제외하고 2025년 1월의 모든 AWS 리전에 적용되었습니다. 2025년 7월부터 이러한 예외를 점진적으로 제거할 예정입니다. PrivateLink 트래픽의 경우 2025년 6월 23일부터 얼리어답터 옵트인 테스트를 제공하고 있습니다. 모든 사용자에게 2개월의 테스트 및 유효성 검사 기간이 주어집니다. 배포 전반에 걸친 변경 사항은 2025년 9월부터 모든 AWS 리전에 롤아웃될 예정입니다.
참조: 1657