证书颁发机构种类更多,证书生命周期更短¶
备注
此变更待定。
作为 Snowflake 持续致力于提供一流传输层安全性 (TLS) 的一部分,我们在现有提供商的基础上,引入了 Let's Encrypt 和 Google Trust Services 作为额外的证书颁发机构 (CA) 提供商。在连接 Snowflake 所有的端点时,你可能会看到由这些 CAs 颁发的证书。我们还在努力缩短证书的有效期,以符合并超越即将生效的 CA/浏览器论坛标准。
此非捆绑变更不会影响大多数驱动程序用于连接到 Snowflake 的端点,特别是由 SYSTEM$ALLOWLIST 和 SYSTEM$ALLOWLIST_PRIVATELINK 返回的 SNOWFLAKE_DEPLOYMENT 和 SNOWFLAKE_DEPLOYMENT_REGIONLESS 类型。当这些现有端点的可能 CAs 列表扩展时,将发送单独的通信。
此非捆绑变更可能会影响 Snowflake 拥有的、并由 SYSTEM$ALLOWLIST 和 SYSTEM$ALLOWLIST_PRIVATELINK 返回的其他域名,例如 SNOWSIGHT_DEPLOYMENT。如果您通过 Web 浏览器访问 Snowflake 服务,以编程方式访问 SPCS 端点,或使用具有高性能架构的 Snowpipe Streaming,很可能会看到这些新证书。
少数 Snowflake 站点,包括 app.snowflake.cn,在 2026 年之前已经使用由其中一些 CAs 颁发的证书。
验证¶
您的操作系统、浏览器或应用程序级 TLS 证书颁发机构信任库必须包含 https://letsencrypt.org/certificates/ (https://letsencrypt.org/certificates/) 和 https://pki.goog/repository/ (https://pki.goog/repository/) 中描述的根 CA 证书。这些 CA 证书存在于所有主要操作系统、浏览器和客户端环境的默认信任库中,因此这种迁移将是透明的,并且不需要对大多数 Snowflake 客户进行任何更改。
您可以打开与下面列出的测试网站的连接,以确保您信任这些 CAs 颁发的证书。
根 CA |
测试 URL |
|---|---|
ISRG 根 X1 |
https://valid-isrgrootx1.letsencrypt.org/ (https://valid-isrgrootx1.letsencrypt.org/) |
ISRG 根 X2 |
https://valid-isrgrootx2.letsencrypt.org/ (https://valid-isrgrootx2.letsencrypt.org/) |
GTS 根 R1 |
https://good.gtsr1.demosite.pki.goog/ (https://good.gtsr1.demosite.pki.goog/) |
GTS 根 R2 |
https://good.gtsr2.demosite.pki.goog/ (https://good.gtsr2.demosite.pki.goog/) |
GTS 根 R3 |
https://good.gtsr3.demosite.pki.goog/ (https://good.gtsr3.demosite.pki.goog/) |
GTS 根 R4 |
https://good.gtsr4.demosite.pki.goog/ (https://good.gtsr4.demosite.pki.goog/) |
GlobalSign R4 |
https://good.gsr4.demosite.pki.goog/ (https://good.gsr4.demosite.pki.goog/) |
操作系统信任库由 OS 提供商实施,所有最近打过补丁的操作系统的默认信任库中都包含足够的证书。如需更多帮助,请联系 OS 供应商。我们建议客户接受来自 ` Mozilla CA/Included 证书列表 <https://wiki.mozilla.org/CA/Included_Certificates (https://wiki.mozilla.org/CA/Included_Certificates)>`_ 的任意 CA。
参考:2255