はじめに
ヘボいフルスタエンジニアなので、まさかり投げられるとアワアワします。
基本的にメモ、備忘録です。
経緯
少し前に、AWSからお知らせが来ていた
We are reaching out to you as you have an active AWS account with AWS Certificate Manager (ACM).
Starting October 8, 2022, any public certificate obtained through ACM will be issued
from one of the multiple intermediate CAs (ICA) or subordinate CAs that we manage.
An ICA chains up to the root CA and is used to issue the leaf certificates that
you receive and use.
The change in ICAs will be transparent to you unless you explicitly
make use of ICA information through certificate pinning.
You can read more about the changes and any actions you need to take if you pin to an ICA here [1].
If you have any questions or concerns, please reach out to AWS Support [2].
[1] https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/
[2] https://aws.amazon.com/support
Google翻訳にかけたものを抜粋すると
2022 年 10 月 8 日以降、ACM を通じて取得された公開証明書は、
当社が管理する複数の中間 CA (ICA) または下位 CA のいずれかから発行されます。
ICA はルート CA まで連鎖し、受信して使用するリーフ証明書を発行するために使用されます。
ICA の変更は、証明書のピン留めによって ICA 情報を明示的に使用しない限り、透過的です。
よくわからん!
特にわからんのが、、「透過的」という点
サーバー証明書が透過的ってどういうこと?
調べてみた
多分これ、というブログがあったので、これを私なりに読み解くと
(※私なりの解釈です、間違ってる可能性があるので、ご注意を)
Certificate Logs(CT ログサーバー) というログサーバーに、証明書の発行状況が保存される+誰でも見れる
誰が、いつ、どんな証明書を発行したかが見えるので、
- メリット
自分でSSL証明書を発行したことが証明できる(?)
自分が発行してないのに、誰かに自分の証明書を発行されている(不正発行の確認) - デメリット
証明書からサーバーが特定できるので、攻撃対象のピックアップに悪用されている
という感じみたい。
証明書を発行した直後
=サーバーを新規に立ち上げた直後
=セキュリティがガバい可能性が高い
ということで攻撃対象にピックアップされるみたいですね、ブログによると。
ということで
AWSからのお知らせに戻ると、2022年10月8日以降、Amazon Certificate Managerで証明書を発行すると
CTログサーバーに保存される仕様になったからね、ということをお知らせしてくれたんだろうなー