Alteração da autoridade certificadora e lista de permissões OCSP para clientes AWS¶
Nota
As alterações mencionadas neste BCR afetam apenas os clientes que usam o Snowflake no AWS (incluindo AWS PrivateLink).
Alterações¶
Como parte do compromisso contínuo da Snowflake em fornecer a melhor segurança da camada de transporte (TLS), estamos migrando todos os pontos de extremidade usados por conectores, drivers, clientes SQL API e todos os pontos de extremidade PrivateLink para uma nova pilha de balanceamento de carregamento. Uma etapa final nesta migração move o encerramento de sessão TLS dos Amazon Elastic Load Balancers para proxies Envoy gerenciados pelo Snowflake.
Como resultado, o Snowflake está mudando qual autoridade de certificação (CA) do TLS assina os certificados usados para encerrar conexões TLS com os pontos de extremidade de sua API do Amazon Trust Services para o Digicert.
Nota
O Digicert já é usado para regiões do Azure e GCP do Snowflake.
Como os certificados da CA Digicert estão presentes nos armazenamentos confiáveis padrão de todos os principais sistemas operacionais, navegadores e ambientes de cliente, e a permissão de saída para respondentes OCSP é uma configuração rara, essa migração será transparente e não exigirá alterações para a maioria dos clientes do Snowflake.
Para a pequena fração de clientes que permite a lista de saída de rede ou personalizam seus armazenamentos confiáveis de CA para excluir a Digicert, atualizações de configuração podem ser necessárias:
Uma atualização dos repositórios confiáveis de nível de sistema operacional ou aplicativo para incluir o certificado raiz da CA Digicert ou intermediários (aplica-se a PrivateLink e conectividade não PrivateLink).
Uma atualização nos firewalls do cliente e proxies de saída para permitir solicitações ao ponto de extremidade do respondente
ocsp.digicert.com
OCSP (aplica-se somente à conectividade não PrivateLink).
Validação¶
Repositório confiável de CA¶
O repositório confiável da autoridade de certificação TLS em nível de sistema operacional, navegador ou aplicativo deve conter o certificado para Digicert Global Root G2, 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
serial.
Os armazenamentos confiáveis do sistema operacional são implementados pelo provedor de OS, e todos os sistemas operacionais corrigidos recentemente contêm a certificação Digicert Global Root G2 em seus armazenamentos confiáveis padrão. Entre em contato com seu fornecedor de OS para obter assistência adicional.
Para obter mais informações, consulte o seguinte:
Se você acessar o Snowflake de um aplicativo Java com um armazenamento confiável personalizado, poderá validar se Digicert Global Root G2 aparece na saída de:
keytool -list -keystore <path_to_keystore_file>
Lista de permissões OCSP¶
Nota
Este BCR não exige nenhuma alteração na lista de permissões OCSP para clientes que usam drivers Snowflake para acessar pontos de extremidade do AWS PrivateLink.
Os clientes que não são do PrivateLink devem validar se seus clientes têm conectividade de rede de saída para ocsp.digicert.com
na porta 80
. Observe que a url curl
deve usar o protocolo http
, e não https
. O uso de https
resultará em um erro de TLS.
curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Para obter instruções gerais sobre os requisitos da lista de permissões do firewall e validação usando a ferramenta SnowCD, consulte SYSTEM$ALLOWLIST.
Validação da adoção antecipada do Privatelink¶
Os clientes PrivateLink que optaram pelo programa de adoção antecipada têm várias opções para validar:
Use o Snowsight com conectividade privada. Para detalhes adicionais, consulte instruções de conectividade privada. Se você conseguir se conectar ao Snowsight, você tem a configuração correta para a atualização do Digicert CA.
Usar qualquer driver Snowflake com um URL de link privado. Para detalhes adicionais, consulte as Driver Snowflake com instruções do Private Link. Se você for capaz de executar consultas, você tem a configuração correta para atualização do Digicert CA.
Se você aceitou participar de uma conta para testes do Privatelink, poderá executar os seguintes comandos para confirmar que a conta foi migrada para o Digicert CA:
curl -v 'https://<privatelink hostname>/console'
...
Server certificate:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
HTTP/1.1 200 OK
...
Na resposta, você deverá ver uma seção de certificado de servidor com o Digicert Global G2 incluído. Se fizer isso, sua conta estará atualmente no Digicert CA. Na seção de certificado do servidor, se você vir Amazon como o emissor, sua conta ainda está em certificados ACM.
Como alternativa, você pode executar o seguinte comando:
openssl s_client -connect <privatelink hostname>:443 -showcerts
...
Certificate chain:
...
issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
...
Verification: OK
...
Se você vir o certificado Digicert G2 na cadeia, sua conta está atualmente no Digicert CA. Se você vir certificados da Amazon na cadeia, sua conta ainda está em certificados ACM.
Nota
Devido a algumas limitações da nossa infraestrutura NLB, não podemos oferecer suporte ao uso de sublinhados no nome do host do PrivateLink. Se você ainda estiver vendo certificados da Amazon durante a validação, tente substituir os sublinhados por hifens. Esse problema afeta apenas os testes de participação antecipada (obtenção do certificado Digicert durante a fase de participação antecipada). Uma vez concluída a migração, você poderá continuar usando sublinhados em nomes de host.
Linha do tempo¶
Importante
Este BCR é uma alteração desagregada. Esta atualização de infraestrutura será executada pela Snowflake no cronograma abaixo e não está vinculada ao ciclo de lançamento da Snowflake ou às ferramentas de Gerenciamento de mudanças de comportamento. Não há um mecanismo de autoatendimento para aceitar ou recusar essa alteração. Para validação e teste, entre em contato com a equipe de suporte para optar por contas individuais para testes de conectividade não relacionadas ao PrivateLink. Para a validação do PrivateLink, a Snowflake fornecerá suporte para a opção de adoção antecipada no nível da conta.
Para tráfego não PrivateLink, esta mudança foi aplicada a todas as regiões da AWS em janeiro de 2025, com algumas exceções. Removeremos gradualmente essas exceções a partir de julho de 2025. Para tráfego PrivateLink, estamos oferecendo testes de participação antecipada a partir de 23 de junho de 2025. Daremos a todos 2 meses para testes e validação. As mudanças em toda a implantação serão implementadas em todas as regiões da AWS a partir de setembro de 2025.
Ref.: 1657