根據AWS標準維護和安全性準則,Amazon Relational Database Service(RDS)、Aurora和DocumentDB資料庫服務的SSL/TLS憑證每5年需要更換一次,官方現在敦促使用憑證驗證的用戶應趕快更新,否則2020年3月5日之後還在使用舊憑證應用程式,將無法連線。

當用戶使用RDS、Aurora和DocumentDB服務,並在連接資料庫執行個體時,使用SSL/TLS憑證驗證,則需要下載並且安裝新的憑證,為執行個體輪替(Rotate)憑證頒發機構,並且重新啟動執行個體。2015年發布的舊憑證即將過期,因此AWS在2019年9月開始提供CA-2019憑證,新的憑證捆綁包同時具有新憑證CA-2019以及舊憑證CA-2015,可以幫助用戶順利過渡憑證更新。

到了2020年3月5日,屆時舊憑證便會過期,使用憑證驗證但是又未更新憑證的應用程式,將會失去連接。而在2020年2月5日至3月5日之間,現有的執行個體將會暫存新憑證,先安裝但是不啟動憑證,一旦重新啟動執行個體才會同時啟用新憑證。而在2020年1月24日後新創建的執行個體,將會使用新的憑證,需要的話用戶可以還原成舊憑證。

AWS官方提到,只要不使用SSL/TLS連接或是憑證驗證的用戶,就不需要更新憑證,但官方仍然建議用戶順便進行更新,以防未來可能需要使用SSL/TLS連接,用戶可以使用新的CLI選項,進行輪替並且暫存新憑證,但是避免重新啟動執行個體。


Advertisement

更多 iThome相關內容