Amazon S3 和 Amazon CloudFront 将服务证书迁移到 Amazon Trust Services

【问题标题】:Amazon S3 and Amazon CloudFront migrating service certificates to Amazon Trust ServicesAmazon S3 和 Amazon CloudFront 将服务证书迁移到 Amazon Trust Services
【发布时间】:2021-02-10 01:22:51
【问题描述】:

我收到了来自 AWS 的关于 S3 和 Cloudfront 迁移的电子邮件。但是,我不太确定是否需要为此采取任何行动。谁能帮帮我

这是一个提醒,Amazon Simple Storage Service (S3) 和 Amazon CloudFront 都将其服务的证书从 DigiCert 从 2021 年 3 月 23 日起向 Amazon Trust Services 提供。如果您这样做 不将 HTTPS 流量直接发送到您的 S3 存储桶,或仅使用自定义 www.example.com 之类的域与您的 CloudFront 分配,然后 没有影响,您可以忽略此消息。如果你发送 HTTPS 流量直接到您的 S3 存储桶,或使用 CloudFront 域 由 *.cloudfront.net 覆盖,请继续阅读并查看 下面是关于哪些证书正在迁移的常见问题解答。

以下是我使用 S3 存储桶的方式:

  1. 我托管了一些静态网站,它们托管在 S3 存储桶上,这些存储桶具有适当的域并使用 CloudFront 分配。
  2. 我有几个存储桶用于存储一些图像/视频,并使用其他网站中的源链接 (https://xxx.s3-ap-southeast-1.amazons.com) 来加载资源。
  3. 我有几个临时网站,它们托管在 S3 上,所以它们都有临时 URL,例如 http://xxx.s3-website.aws.com

提前感谢您的帮助。

【问题讨论】:

    标签: amazon-s3


    【解决方案1】:
    1. 我托管了几个静态网站,它们托管在 S3 存储桶上,这些存储桶具有适当的域并使用 CloudFront 分配。

    如果您不是直接访问*.cloudfront.net,那么您在这种情况下不会受到影响,因为 S3 网站端点仅支持 HTTP(无 S)。

    1. 我有几个存储桶用于存储一些图像/视频,并使用其他网站中的源链接 (https://xxx.s3-ap-southeast-1.amazons.com) 来加载资源。

    在这种情况下,您会受到影响。

    1. 我有几个临时网站,它们托管在 S3 上,所以它们都有临时 URL,例如 http://xxx.s3-website.aws.com

    您不会受到影响,因为您只使用 HTTP(无 S)。

    【讨论】:

    • 需要您的帮助。我有这些类型的 URL“s3.amazonaws.com/mybucketname/somefolderinbucket/972-1.png”我使用 https 链接,第一个文件夹作为存储桶名称,存储桶中的其他子文件夹和图像文件。我会不会被感染。我所做的只是将这些图像直接链接到我的网站中。谢谢。
    【解决方案2】:

    电子邮件还声明

    Amazon Trust Services 证书颁发机构源自 AWS 购买的 Starfield Services 证书颁发机构,该证书颁发机构自 2005 年起生效。这意味着您无需采取任何行动即可使用 Amazon Trust Services 颁发的证书,因为它是已包含在大多数 Web 浏览器、操作系统和应用程序的通用信任库中。但是,如果您构建自定义证书信任存储或使用证书固定,您可能需要更改您的配置。作为最佳实践,我们建议通过以下测试之一验证 Amazon Trust Services 是否在您的信任库中。

    意思是,如果您不构建自定义证书信任库或使用证书固定,则无需更改任何内容。访问受影响的 HTTPS 页面时,您或其他用户不会注意到证书的更改。

    更多关于证书锁定here

    【讨论】:

      【解决方案3】:

      对于您的第 2 点。我的理解是,如果您只是链接到托管的 https 存储桶版本,他们只会将证书从 digicert 更新为亚马逊颁发的证书,并且一切都应该继续工作。

      我有一个类似的设置,视频和图像使用 s3 上的 digicert 证书托管。我只是复制了我的开发环境以使用具有最新亚马逊颁发的证书的“eu-west-3”,一切似乎都一样,只是发行者不同。 也许这对有更好知识的人来说更清楚,但我只能假设他们只会重新颁发新证书,不会对我们这些使用旧数字证书的人产生影响。

      【讨论】:

        【解决方案4】:

        我也是这样。

        我做了什么?

        在这个场合,我正在使用 Route 53 将通过 s3.amazonaws.com 公开访问的所有 s3 资产移动到云端,我已经厌倦了不时地修复和检查链接,我不再绑定到 aws 以获取共享资源,如果明天我迁移到 Google 只是域交换。

        预期什么?

        这并不意味着我们不再可以访问 s3 或云前端 https,但我们需要确保我们的操作系统、应用程序、浏览器或框架支持 Amazon Trust Services CA。

        说起来容易做起来难,下面的文字来自 aws blog

        只要我们运行以下版本或更高版本,我们就是安全的

        • 自 2005 年 1 月起安装了更新的 Microsoft Windows 版本、Windows Vista、Windows 7、Windows Server 2008 和更新版本
        • Mac OS X 10.4 和 Java 用于 Mac OS X 10.4 第 5 版、Mac OS X 10.5 和更新版本
        • Red Hat Enterprise Linux 5(2007 年 3 月)、Linux 6、Linux 7 和 CentOS 5、CentOS 6 和 CentOS 7
        • Ubuntu 8.10
        • Debian 5.0
        • Amazon Linux(所有版本)
        • Java 1.4.2_12、Java 5 update 2 和所有更新版本,包括 Java 6、Java 7 和 Java 8

        所有现代浏览器都信任亚马逊的 CA。您只需更新浏览器即可在浏览器中更新证书包。您可以在以下浏览器各自的网站上找到更新说明:

        如果您的应用程序使用自定义信任存储,您必须将 Amazon 根 CA 添加到应用程序的信任存储。执行此操作的说明因应用程序或平台而异。请参阅您正在使用的应用程序或平台的文档。

        TL;DR

        查看此link,了解 CloudFront 和 S3 如何影响您 将默认证书迁移到 Amazon Trust Services 3 月 23 日 来自 DigiCert 的 2021 年

        【讨论】:

          猜你喜欢
          • 2021-03-25
          • 1970-01-01
          • 1970-01-01
          • 2016-11-01
          • 1970-01-01
          • 2016-11-10
          • 2015-09-01
          • 2014-05-09
          • 1970-01-01
          相关资源
          最近更新 更多
          热门标签
          Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode