AWS客户使用Entrust颁发的证书的选项 安全博客
  • 7

AWS用户如何处理Entrust颁发的证书

by Zach Miller Chandan Kundapur 和 Ian Olson 于2024年10月18日发布在 AWS证书管理器,基础知识,安全、身份与合规永久链接评论 分享

多个流行的浏览器已宣布将在今年晚些时候不再信任Entrust颁发的公共证书。根据浏览器制造商当前的信息,到账日期到2024年11月11日及之前发行的Entrust证书将在其过期前仍被信任,而在该日期之后发行的证书将不再受到信任。

如果您已将Entrust证书导入到AWS证书管理器(ACM),并与Amazon CloudFront或弹性负载均衡等集成服务一起使用,建议您在2024年11月12日之前通过Entrust重新颁发这些证书并重新导入。这将为您提供更长的时间来评估可选方案。在这篇文章中,我们探讨了如何确定您导入到ACM中的证书是否会受到影响,并建议潜在的替代方案,包括由Amazon Trust Services颁发的公共证书。

关键要点

多个浏览器不再信任Entrust颁发的公共证书,时间节点为2024年11月11日。如果使用Entrust证书,建议在截止日期之前重新颁发并重新导入证书。评估使用公共证书与私有证书的选择,尤其是针对内部应用场景。使用AWS ACM获得更安全且无额外成本的公共证书。

如何确认是否将Entrust证书导入到ACM

如果您不确定是否已将证书导入ACM,有几种方法可以进行验证。您可以使用ACM控制台查看该AWS账户中的证书。导入到ACM的证书类型为Imported,如图1所示。

您还可以使用AWS CLI或API来列出您AWS账户中的证书。以下是通过AWS CLI使用listcertificates命令的示例:

bashaws acm listcertificates

然后,您可以使用以下命令过滤响应,仅显示导入到ACM中的证书ARN:

bashaws acm listcertificates query CertificateSummaryList[Type==IMPORTED]CertificateArn

在识别出导入证书的ARN后,您可以使用describecertificate CLI命令获取更多信息。其中一项返回字段为Issuer,它指示了原始发行该证书的机构。请参见以下示例命令及其输出,其中的发行者为Amazon:

bashaws acm describecertificate certificatearn arnawsacmregionaccountcertificate/12345678123412341234123456789012

在ACM中,您可以使用以上方法确定是否导入了Entrust证书,并使用DescribeCertificate响应中的Issuer字段检查您的导入证书是否由Entrust发行,将受到即将到来的浏览器变化的影响。

最后,您还可以使用我们的GitHub存储库中的示例代码查找由特定CA或发行者所发行的导入证书。该项目评估给定AWS账户中的ACM证书,标记具有与特定可定制CA值匹配的证书。这可以作为Python脚本运行,或用作AWS Config的查询或自定义规则。

考虑用公共证书替换Entrust证书

如果您正在使用扩展验证(EV)或组织验证(OV)证书,建议您转用域验证(DV)证书,这些证书来自ACM。流行的浏览器在判定网站的信任度时不会区分EV、OV和DV证书。此外,EV/OV证书的颁发和续订无法自动化,需手动操作,而DV证书则可以自动更新。

您可以使用ACM在不产生额外费用的情况下获得DV证书,以与Amazon CloudFront、弹性负载均衡或Amazon API Gateway一起使用。我们的公共证书由Amazon Trust Services颁发,并受到流行浏览器和操作系统的信任。当您通过ACM颁发证书时,您可享受全面管理的证书续订服务,ACM会在证书距离到期60天时自动续期并重新部署。

评估私有证书在内部使用场景的适用性

我们还建议您重新评估证书的使用情况,以重新考虑您是否需要针对您的应用场景使用私有或公共证书。对于内部使用的工作负载,应考虑使用私有证书。这样,您可以控制证书的参数,如证书类型或有效期,以符合特定的TLS要求。例如,由ACM颁发的公共证书有效期为395天,但您可能会有需要更长有效期证书的使用场景,在这些情况下,您可以从AWS Private Certificate Authority (AWS Private CA)颁发私有证书。

结论

总之,如果您在ACM中导入了Entrust颁发的证书,请评估您是否需要公共或私有证书,特别是针对内部应用场景私有证书通常更为合适。对于公共证书,现在是重新评估EV和OV证书使用情况的好时机,看看是否可以更换为DV证书。如果您希望使用公共证书与Amazon CloudFront、弹性负载均衡或Amazon API Gateway等服务,请直接从ACM颁发证书。最后,如果您需要更多时间来评估选项,在2024年11月12日之前考虑重新颁发并重新导入您的Entrust证书。流行浏览器表示,在Entrust于2024年11月12日之前所发证书的有效期内将继续信任这些证书,为您提供在下次证书续期之前做出明智决定的时间。您可以通过查看AWS文档进一步了解ACM,并在AWS管理控制台中开始颁发证书。

如果您对这篇文章有反馈,请在下方的评论部分提交。如果您有关于此帖子的疑问,请联系AWS支持。

Zach MillerZach是AWS的资深安全专家解决方案架构师。他在数据保护和安全架构方面拥有背景,专注于应用密码学和秘密管理等各个安全领域。如今,他专注于帮助企业级AWS客户采用和实施AWS安全服务,以提高安全性和降低风险。

Chandan KundapurChandan是AWS证书管理器(ACM)团队的首席技术产品经理。近20年的网络安全经验让他对推动ACM团队的产品战略充满激情,旨在帮助AWS客户识别和保护其资源及端点的公共和私有证书。

快橙加速器官方版

Ian OlsonIan是亚马逊网络服务的高级安全专家解决方案架构师。他帮助客户自动化安全服务,以抵御DDoS攻击和网络利用等威胁。通过智能自动化,他提供针对任何规模组织的安全解决方案。在工作之余,Ian喜欢与他两位幼小的孩子共度美好时光。

AWS客户使用Entrust颁发的证书的选项 安全博客

标签 ACM、证书管理、证书、安全博客、TLS