CloudFrontのデフォルトの証明書の認証局がAmazon Trust Servicesに移行されます

CloudFrontのデフォルトの証明書がAmazon Trust Servicesに移行されます
2020.11.26

2021年3月23日からS3とCloudFrontのデフォルトの証明書の認証局がAmazon Trust Servicesに移行されます。CloudFrontの移行についてご紹介します。

CloudFrontにHTTPS接続してみる

ACMで証明書を発行すると、認証局はAmazon Trust Services(AWS独自の認証局)になります。ChromeでACMで発行した証明書を確認すると、発行元はAmazonと表示されます。

opensslでコマンドで確認すると、「O = Amazon, CN = Amazon Root CA 1」のように確認できます。

$ openssl s_client -connect dev.classmethod.jp:443 -showcerts
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = *.classmethod.jp
verify return:1
(略)

CloudFrontのデフォルトのDNS名(d2xxxxxxx.cloudfront.netといったDNS名)にブラウザでhttps接続すると、発行元はDigiCertと表示されます。

opensslでコマンドで確認すると、「O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2」と確認できます。こちらが、2021年3月23日からAmazon Trust Servicesに移行されます。

$ openssl s_client -connect d2xxxxxxx.cloudfront.net:443 -showcerts
CONNECTED(00000005)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root G2
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert Global CA G2
verify return:1
depth=0 C = US, ST = Washington, L = Seattle, O = "Amazon.com, Inc.", CN = *.cloudfront.net
verify return:1
(略)

Amazon Trust Servicesを信頼するOSは以下の通りです。また、モダンなWebブラウザはAmazon Trust Servicesを信頼しています。独自アプリケーションやサポート切れしたOSからデフォルト証明書を使っている場合は影響を受ける可能性があるかと思います。

Microsoft Windows versions, that have updates installed, from January 2005, Windows Vista, Windows 7, Windows Server 2008, and newer versions Mac OS X 10.4 with Java for Mac OS X 10.4 Release 5, Mac OS X 10.5 and newer versions Red Hat Enterprise Linux 5 (March 2007), Linux 6, and Linux 7 and CentOS 5, CentOS 6, and CentOS 7 Ubuntu 8.10 Debian 5.0 Amazon Linux (all versions) Java 1.4.2_12, Java 5 update 2, and all newer versions, including Java 6, Java 7, and Java 8

How to Prepare for AWS’s Move to Its Own Certificate Authority

おわりに

CloudFrontのデフォルトの証明書がAmazon Trust Servicesに移行される件について、ご紹介しました。ご自身の環境がAmazon Trust Servicesを信頼するかについてはAWS公式ブログのテストURLで確認できます。