みなさん、こんばんは。サニービュー事業部の小寺です。
RDSでセキュアな通信を行うため、何と有効期限100年の新しいSSL/TLS証明書機関がサポートされるようになりました。
そもそもRDSのSSL/TLSの接続って?
アプリケーションで Secure Socket Layer (SSL) または Transport Layer Security (TLS) を使用することにより、RDSのインスタンスとの接続が暗号化されます。SSL/TLS接続は、クライアントと DBインスタンスの間のでやり取りされるデータを暗号化することで、1 つのセキュリティレイヤーが追加され、サーバー証明書を使うと、Amazon RDS DB インスタンスへの接続が確立されていることが検証できます。
アップデート内容
Amazon Relational Database Service (Amazon RDS) で、有効期限が40年と100年の新しい認証局が利用可能になりました。
2000年には期限切れ問題を体験した方もいらっしゃるかと思いますが、有効期限が100年のものに切り替えておけば当面は安心ですね。
実際に確認してみる
(1)現状利用している「rds-ca-2019」の有効期限は2024年8月23日となっています。
(2)「認証機関」欄を確認してみるとデフォルトだった、「rds-ca-2019」以外に「rds-ca-ecc384-g1」、「rds-ca-rsa4096-g1」、「rds-ca-rsa2048-g1」 新たに追加になっています。
(3)rds-ca-ecc384-g1、rds-ca-rsa4096-g1を選んでみたとき、証明機関の日付が2121年5月26日08:03 (UTC+09:00)で、 rds-ca-rsa2048-g1が2061年5月26日でした。
証明書の期限は2026年1月となっていますが、証明書の期限切れまでにRDSにより自動的なアップデートが可能です。
今の既存の証明書はどうすればよい?
今回追加されたCAを利用するRDSでは サーバー側の証明書は、40/100年間は自動更新で利用することができます。
新規にRDSインスタンスを作成される場合、新しい認証局を使うことをおすすめいたします!
このアップデート前の既存の「rds-ca-2019」を認証局としているRDSインスタンスも、メンテナンスウィンドウを利用する事で新しい認証局が利用可能となります。「rds-ca-2019」は期限切れの2024年8月まで少し期間的には猶予がありますが、早めに切り替えをすることで余裕をもった運用ができますよね。