사용자 지정 인증 기관 및 AWS 고객에 대한 OCSP 허용 목록 변경¶

변경 사항¶

동급 최고의 전송 계층 보안(TLS)을 제공하기 위한 Snowflake의 지속적인 노력의 일환으로 커넥터, 드라이버, SQL API 클라이언트 및 모든 PrivateLink 엔드포인트에서 사용하는 모든 엔드포인트를 새로운 로드 밸런싱 스택으로 마이그레이션하고 있습니다. 이 마이그레이션의 마지막 단계는 TLS 세션 종료를 Amazon Elastic Load Balancers에서 Snowflake가 관리하는 Envoy 프록시로 이동하는 것입니다.

그 결과, Snowflake는 API 엔드포인트에 대한 TLS 연결을 종료하는 데 사용하는 인증서에 서명하는 TLS 인증 기관(CA)을 Amazon Trust Services에서 Digicert로 변경하는 중입니다.

Digicert CA 인증서는 모든 주요 운영 체제, 브라우저 및 클라이언트 환경의 기본 신뢰 저장소에 있고 OCSP 응답자에 대한 발신 허용 목록은 드문 구성이므로 이 마이그레이션은 투명하며 대부분의 Snowflake 고객은 변경할 필요가 없습니다.

네트워크 발신 허용 목록에 추가하거나 Digicert를 제외하도록 CA 신뢰 저장소를 사용자 지정하는 소수의 고객의 경우, 구성 업데이트가 필요할 수 있습니다.

1. 운영 체제 또는 애플리케이션 수준 신뢰 저장소를 업데이트하여 Digicert CA 루트 인증서 또는 중간 인증서(PrivateLink 및 PrivateLink 이외의 연결에 적용)를 포함시킵니다.

2. 클라이언트 방화벽 및 송신 프록시를 업데이트하여 ocsp.digicert.com OCSP 응답자 엔드포인트에 대한 요청을 허용합니다(PrivateLink 연결이 아닌 경우에만 적용).

유효성 검사¶

keytool -list -keystore <path_to_keystore_file>

curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...

타임라인¶

이 변경 사항은 2025년 1월 5일부터 1월 31일까지 모든 AWS 리전에서 점진적으로 적용됩니다(기존 발표일인 2024년 9월~10월에서 연기됨).

참조: 1657