Alteração da autoridade certificadora e lista de permissões OCSP para clientes AWS¶
Nota
As alterações mencionadas neste BCR afetam apenas os clientes que usam o Snowflake no AWS (incluindo AWS PrivateLink).
Alterações¶
Como parte do compromisso contínuo da Snowflake em fornecer a melhor segurança da camada de transporte (TLS), estamos migrando todos os pontos de extremidade usados por conectores, drivers, clientes SQL API e todos os pontos de extremidade PrivateLink para uma nova pilha de balanceamento de carregamento. Uma etapa final nesta migração move o encerramento de sessão TLS dos Amazon Elastic Load Balancers para proxies Envoy gerenciados pelo Snowflake.
Como resultado, o Snowflake está mudando qual autoridade de certificação (CA) do TLS assina os certificados usados para encerrar conexões TLS com os pontos de extremidade de sua API do Amazon Trust Services para o Digicert.
Nota
O Digicert já é usado para regiões do Azure e GCP do Snowflake.
Como os certificados da CA Digicert estão presentes nos armazenamentos confiáveis padrão de todos os principais sistemas operacionais, navegadores e ambientes de cliente, e a permissão de saída para respondentes OCSP é uma configuração rara, essa migração será transparente e não exigirá alterações para a maioria dos clientes do Snowflake.
Para a pequena fração de clientes que permite a lista de saída de rede ou personalizam seus armazenamentos confiáveis de CA para excluir a Digicert, atualizações de configuração podem ser necessárias:
Uma atualização dos repositórios confiáveis de nível de sistema operacional ou aplicativo para incluir o certificado raiz da CA Digicert ou intermediários (aplica-se a PrivateLink e conectividade não PrivateLink).
Uma atualização nos firewalls do cliente e proxies de saída para permitir solicitações ao ponto de extremidade do respondente
ocsp.digicert.comOCSP (aplica-se somente à conectividade não PrivateLink).
Validação¶
Repositório confiável de CA¶
O repositório confiável da autoridade de certificação TLS em nível de sistema operacional, navegador ou aplicativo deve conter o certificado para Digicert Global Root G2, 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5 serial.
Os armazenamentos confiáveis do sistema operacional são implementados pelo provedor de OS, e todos os sistemas operacionais corrigidos recentemente contêm a certificação Digicert Global Root G2 em seus armazenamentos confiáveis padrão. Entre em contato com seu fornecedor de OS para obter assistência adicional.
Para obter mais informações, consulte o seguinte:
Se você acessar o Snowflake de um aplicativo Java com um armazenamento confiável personalizado, poderá validar se Digicert Global Root G2 aparece na saída de:
keytool -list -keystore <path_to_keystore_file>
Lista de permissões OCSP¶
Nota
Este BCR não exige nenhuma alteração na lista de permissões OCSP para clientes que usam drivers Snowflake para acessar pontos de extremidade do AWS PrivateLink.
Os clientes que não são do PrivateLink devem validar se seus clientes têm conectividade de rede com de saída ocsp.digicert.com na porta 80, por exemplo, usando curl:
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Para obter instruções gerais sobre os requisitos da lista de permissões do firewall e validação usando a ferramenta SnowCD, consulte SYSTEM$ALLOWLIST.
Linha do tempo¶
Importante
Este BCR é uma alteração desagregada. Esta atualização de infraestrutura será executada pela Snowflake no cronograma abaixo e não está vinculada ao ciclo de lançamento da Snowflake ou às ferramentas de Gerenciamento de mudanças de comportamento. Não há um mecanismo de autoatendimento para aceitar ou recusar essa alteração.
Essa mudança ocorrerá gradualmente em todas as regiões AWS de 5 a 31 de janeiro de 2025 (adiado das datas anunciadas anteriormente de setembro a outubro de 2024).
Ref.: 1657