- 최신
- 최다 투표
- 가장 많은 댓글
네, 귀하의 질문에 대해 답변 드리겠습니다.
AWS Certificate Manager(ACM)는 2024년 8월부터 Starfield Class 2(C2) 루트와의 교차 서명을 중단할 예정입니다. 이는 GoDaddy가 2025년 4월까지 Starfield Services C2 지원을 중단할 계획이기 때문입니다.
이 변경으로 인해 AWS에서 발급한 인증서 체인의 마지막 인증서는 Amazon Root CA(1에서 4 중 하나)가 될 것이며, 신뢰 앵커는 Starfield Services G2가 될 것입니다.
귀하의 애플리케이션이 Starfield Class 2 인증 기관만을 신뢰하도록 설정되어 있다면, 다음과 같은 조치를 취해야 합니다:
-
신뢰 저장소 업데이트: Amazon Trust Services 루트 CA 중 하나를 신뢰 저장소에 추가해야 합니다. 이는 Amazon Root CA 1, 2, 3, 4 중 하나일 수 있습니다.
-
인증서 고정(certificate pinning) 수정: AWS 서비스 API 엔드포인트와 같이 완전히 제어할 수 없는 인증서에 대해서는 인증서 고정을 사용하지 않는 것이 좋습니다. 대신, 신뢰할 수 있는 루트 CA 목록을 유지하고 이를 통해 인증서를 검증하는 방식을 사용하세요.
-
테스트: Amazon Trust Repository에서 제공하는 유효한 테스트 인증서를 사용하여 클라이언트를 테스트하세요. 이를 통해 변경 사항이 제대로 적용되었는지 확인할 수 있습니다.
-
인증서 체인 길이나 Starfield Services G2의 인증서 또는 해시에 의존하지 않도록 애플리케이션을 수정하세요.
이러한 변경 사항을 적용한 후, 애플리케이션이 새로운 Amazon 인증서 체인을 올바르게 처리하는지 철저히 테스트해야 합니다. 또한, 운영 체제와 브라우저가 최신 상태로 유지되고 있는지 확인하는 것도 중요합니다. 대부분의 최신 운영 체제와 브라우저는 이미 Amazon Trust Services 루트 CA를 신뢰하고 있습니다.
이러한 조치를 취하면 2024년 8월 이후에도 AWS 서비스와의 연결에 문제가 없을 것입니다.
Sources
ACM will no longer cross sign certificates with Starfield Class 2 starting August 2024 | AWS Security Blog
ACM Amazon-issued certs: new trusted chain missing on some computers (Starfield Services Root ... G2) | AWS re:Post
AWS Certificate Manager public certificate characteristics and limitations - AWS Certificate Manager
안녕하세요. 여기는 re:Post 라는 커뮤니티로, AWS 와 공식적인 지원을 받으시려면, AWS 콘솔 상단 우측의 지원 센터 https://console.aws.amazon.com/support/ 에서 지원 사례에 이어 답변을 함으로써 도움을 받을 수 있습니다. AWS 콘솔에 로그인하시어 문의하시기 바랍니다.
글을 읽어봐도 잘 모르겠습니다. 도와주실 수 있나요?