AWS 客户的证书颁发机构和 OCSP 允许列表的变更

备注

本 BCR 中提及的变更仅影响使用 Snowflake on AWS(包括 AWS PrivateLink)的客户。

变更

作为 Snowflake 对提供一流传输层安全 (TLS) 的持续承诺的一部分,我们正在将连接器、驱动程序、SQL API 客户端使用的所有端点和所有 PrivateLink 端点迁移到新的负载平衡堆栈。迁移的最后一步是将 TLS 会话终止从 Amazon Elastic Load Balancers 转移到 Snowflake 管理的 Envoy 代理。

因此,Snowflake 在将用于终止 TLS 连接到其 API 端点的证书的 TLS 证书授权机构 (CA) 从 Amazon Trust Services 更改为 Digicert。

备注

Digicert 已用于 Snowflake 的 Azure 和 GCP 区域。

由于 Digicert CA 证书存在于所有主要操作系统、浏览器和客户端环境的默认信任库中,而允许列表出口到 OCSP 响应器是一种罕见配置,因此这种迁移是透明的,且 对大多数 Snowflake 客户而言无需进行任何更改

对于允许列表网络出口或自定义 CA 信任库以排除 Digicert 的一小部分客户,可能需要进行配置更新:

  1. 更新操作系统或应用程序级信任库,以包括 Digicert CA 根证书或中间证书(适用于 PrivateLink 和非 PrivateLink 连接)。

  2. 更新客户端防火墙和出口代理,允许向 ocsp.digicert.com OCSP 响应器端点发出请求(仅适用于非 PrivateLink 连接)。

验证

CA 信任库

您的操作系统、浏览器或应用程序级 TLS 证书颁发机构信任库必须包含 Digicert Global Root G2 的证书,序列号为 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5

操作系统信任库由 OS 提供商实施,所有最近打过补丁的操作系统的默认信任库中都包含 Digicert Global Root G2 认证。如需更多帮助,请联系 OS 供应商。

有关更多信息,请参阅以下内容:

  • Windows (https://learn.microsoft.com/en-us/windows-hardware/drivers/install/certificate-stores?source=recommendations)

  • macOS (https://support.apple.com/en-us/HT209143)

  • RedHat Linux (https://www.redhat.com/sysadmin/configure-ca-trust-list)

  • Ubuntu (https://ubuntu.com/server/docs/security-trust-store)

如果您使用自定义信任库从 Java 应用程序访问 Snowflake,可以验证Digicert Global Root G2 是否出现在以下输出中:

keytool -list -keystore <path_to_keystore_file>
Copy

OCSP 允许列表

备注

对于使用 Snowflake 驱动程序访问 AWS PrivateLink 端点的客户,此 BCR 不需要对 OCSP 允许列表做出任何更改。

非 PrivateLink 客户应验证其客户端是否与端口 80 上的 ocsp.digicert.com 有出站网络连接。请注意,curl URL 必须使用:code:http`协议,而不是 :code:`https。使用 https 会导致 TLS 错误。

curl -I 'http://ocsp.digicert.com'
HTTP/1.1 200 OK
...
Copy

有关防火墙允许列表要求和使用 SnowCD 工具进行验证的一般说明,请参阅 SYSTEM$ALLOWLIST

时间表

重要

此 BCR 是 未捆绑的变更。该基础架构更新将由 Snowflake 按以下时间表执行,与 Snowflake 发布周期或 行为变更管理 工具无关。没有选择加入或退出此变更的自助服务机制。要进行验证和测试,请联系支持团队,选择使用个人账户进行非 PrivateLink 连接测试。对于 PrivateLink 验证,Snowflake 将在 2025 年 2 月之前为账户级别的早期采用者选择加入提供支持。

对于所有非 PrivateLink 流量,此变更将从 2025 年 1 月 5 日到 1 月 31 日(较先前宣布的 2024 年 9 月到 10 月有所推迟)逐渐在所有 AWS 区域推出。对于 PrivateLink 流量,此变更将于 2025 年 4 月 2 日到 4 月 30 日在所有 AWS 区域推出。

参考:1657

语言: 中文