ACM 将从 2024 年 8 月起不再与 Starfield Class 2 交叉签署证书 安全博
ACM 停止与 Starfield Class 2 交叉签名证书,从 2024 年 8 月起生效
作者 Chandan Kundapur Anthony Harvey Georgy Sebastian Shankar Rajagopalan发布时间 2024 年 6 月 27 日来源 AWS Announcements AWS Certificate Manager
关键要点
从 2024 年 8 月开始,AWS Certificate Manager (ACM) 将不再与 GoDaddy 操作的 Starfield Class 2(root) 交叉签名证书。公共证书将停止使用 Starfield Services C2 作为信任锚,以确保在更新的证书中不包含即将不再受支持的证书。绝大多数用户不会受到此更改的影响,因为 Amazon 拥有的信任锚已在很多设备和浏览器上得到建立。重要提醒 Es方案的过渡期将在 2025 年 12 月 31 日之前完成。
AWS Certificate Manager (ACM) 是一种受管理的服务,可用于提供、管理和部署用于 弹性负载均衡 (ELB)、Amazon CloudFront、Amazon API Gateway 和其他 AWS 集成服务的公共和私有 TLS 证书。从 2024 年 8 月起,ACM 颁发的公共证书将在 Starfield Services G2 根证书下终止,停止使用与 GoDaddy 操作的 Starfield Class 2 根证书的交叉签名。
背景
通过 ACM 请求的公共证书来自 Amazon Trust Services。与其他公共 CA 一样,Amazon Trust Services CA 具备结构化的信任层次。发给你的公共证书也称为叶子证书会链式传递到一个或多个中间 CA,然后再传递到 Amazon Trust Services 根 CA。
Amazon Trust Services 根 CA 1 到 4 由 Amazon Trust Services 根 Starfield Services G2 交叉签名,进一步由 GoDaddy 操作的 Starfield Class 2 根签名。进行这一交叉签名是因为 Starfield Class 2 在 ACM 于 2016 年启动时广受信任。
变更信息
从 2024 年 8 月开始,AWS 颁发证书链中的最后一个证书将为 Amazon 根 CA 1 至 4,而信任锚为 Starfield Services G2。在此变更之前,链中的最后一个证书为交叉签名的 Starfield Services G2 根证书,信任锚可能是 Starfield Class 2。
证书链对比
新证书链示例旧证书链示例变更原因
Starfield Class 2 由 GoDaddy 管理,GoDaddy 将在 2025 年 4 月开始停止支持 Starfield Services C2。一些流行的浏览器例如 Chromium 和 Mozilla不再信任 Starfield Services C2。为了确保在 GoDaddy 停止支持之后,ACM 颁发的替代证书不再包含 Starfield Services C2,我们正在进行过渡。
对 ACM 使用的影响
我们预计此更改不会影响大多数客户。 Amazon 拥有的信任锚已经在多个设备和浏览器上使用了十多年。Amazon 拥有的 Starfield Services G2 对 Android 设备在 Gingerbread 的后续版本以及 iOS 从 41 版起得到信任。包括 Amazon 或 Starfield Services G2 根证书的浏览器、应用或操作系统将信任从 ACM 获取的公共证书。
每天免费2小时加速器下载准备工作
我们预计移除 Starfield Services C2 作为信任锚的影响将限于以下类型的客户:
未将 Amazon Trust Services 根 CA 添加到信任存储的客户 为了解决这个问题,您可以将 Amazon CA 添加到您的信任存储中。对交叉签名证书或 Starfield Services G2 的证书哈希进行绘制的客户 可以在 Amazon Trust 资源库中找到证书绘制指导。对链的长度有依赖的客户 ACM 颁发的公共证书的链长度将从 3 减少到 2,客户需要相应更新流程和检查。注意 我们强烈建议您将信任只固定到您完全拥有的证书上。请勿将信任固定在 AWS 服务 API 端点的证书,因为您并不完全拥有它们。
客户可以测试他们的客户端是否能够打开来自 Amazon Trust Repository 的有效测试证书。
常见问题FAQ
如果 Amazon Trust Services CA 不在我的信任存储中该如何进行?如果您的应用使用自定义信任存储,您必须将 Amazon Trust Services 根 CA 添加到您的应用信任存储中。具体步骤根据所使用的应用或服务而异,您可以参阅相应的文档。
为什么 ACM 必须更改信任锚?为什么不能继续使用交叉签名的 C2 证书?有一些极少数的客户端会检查端点返回的所有证书的有效性,即使他们有较短的信任锚。如果 ACM 继续返回由 C2 交叉签名的 G2 根证书,客户可能会在 CRL 和 OCSP 验证时遇到问题。
GoDaddy 将何时停止支持 Starfield Class 2 根证书?GoDaddy 尚未具体宣布 Starfield Class 2 根证书的停止日期。我们正与 GoDaddy 合作,以减少对客户的影响。
何时生效?AWS 从 2024 年 8 月开始逐步推出这些更改。您从 ACM 获取的新公共证书不再包含 Starfield Services C2。
如果我需要更多时间来脱离对 Starfield Services C2 的依赖怎么办?请联系 AWS 支持 以了解适合您使用情况的可选方法。
如果您对此帖子有任何反馈,请在下方评论区留下一条评论。如果您对此帖有问题,请在 AWS Certificate Manager rePost 上开启新话题或 联系 AWS 支持。
AWS在2023年Gartner魔力象限云数据库管理系统中位于执行力最高的位置 数据库博客
AWS在2023年Gartner云数据库管理系统魔力象限中位列执行力最高作者:Rahul Pathak Colin Lazier G2 Krishnamoorthy与Jeff Carter2024年1...