SESエンドポイントで利用されるSSL証明書が変更されました

2018.01.26

はじめに

AWSチームのすずきです。

AWSサービスのHTTPSに利用されているSSL証明書、Symantec、DigiCertから アマゾンの自社認証局 Amazon Trust Services への切替が進められています。

Amazon Simple Email Service(SES)、AWSのメールサービスのエンドポイントで利用されている SSL証明書の変更が確認されましたので、紹介させていただきます。

SSL証明書の変更が予想されるAWSサービスのエンドポイントを確認してみた

証明書確認

opensslコマンドでSESのエンドポイント(HTTPS)の確認を行いました。

openssl s_client -connect email.us-east-1.amazonaws.com:443 -showcerts < /dev/null 2> /dev/null | grep -A 2 -e "Server certificate" | tail -2

先週の確認時点では「Symantec」の証明書が利用されていましたが、その後1週間の間に アマゾン発行証明書への変更が実施された模様です。

1月20日(変更前)

  • subject=/C=US/ST=Washington/L=Seattle/O=Amazon.com, Inc./CN=email.us-east-1.amazonaws.com
  • issuer=/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4

1月26日(変更後)

  • subject=/CN=email.us-east-1.amazonaws.com
  • issuer=/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon

影響確認

SESを利用したメール配信数は、AWSコンソール上で確認する事が可能です。

SESダッシュボード

  • 「Sending Statistics」にて直近2週間の配信数が表示されます。

Cloudwatchダッシュボード

  • 「SES」のグローバルメトリクス「Delivery」を指定、統計情報の「合計」を見ることで配信数が確認できます。

まとめ

アマゾン発行のSSL証明書、現行の殆どの環境では問題なく利用する事が可能ですが、 古いOS、ミドルウェア、アプリケーションで、古いSSLの信頼ストア情報を更新されていない環境では、 アマゾン発行のSSL証明書を利用する事ができない事があります。

念のため古くからSESによるメール配信を実施しているシステムでは、直近のメール配信実績の変化について 確認されることをおすすめします。

万一、SESのメール配信数の大きな減少などの変化が確認された場合、 SESを利用するアプリケーション、ミドルウェアのログをあわせてご確認ください。

SSL証明書に起因するエラーの発生があった場合には、公式ページに案内のある信頼ストア情報の更新や、 OS、ミドルウェアの最新パッチ反映などのメンテナンスの実施をご検討ください。

About the Amazon Trust Services Migration