AWS Certificate Manager (ACM)のCT(Certificate Transparency)をオプトアウトする

CT(Certificate Transparency)のオプトアウトとは

Certificate TransparencyはGoogleが提唱するTLS証明書の出所を明らかにするための仕組みで、CTのログサーバーによって証明書の発行履歴が公開されるとともに、証明書にCTに関する情報を追加します。Google Chromeブラウザでは2018年5月より、それ以降に発行されたTLS証明書がCT情報を持たない場合に警告を表示するようになります。

公開サービスの証明書であれば順次CT対応を進めるのが望ましいですが、ドメイン名が公になると都合の悪いドメインでTLS証明書を扱いたい場合もあるでしょう。例えば未発表の製品名であるとか、機密性の高い情報を扱うシステムのドメインなどです。ブラウザでの警告を避けることはできませんが、敢えてCTをオプトアウトすると判断することもありえるわけです。

オプトアウト手順

ACMでは2018年4月24日以降に発行する証明書は既定でCTが有効になり、設定としてオプトアウトを指示することができます。以下で対応します。

証明書の説明	オプトアウトの対応
発行済みの既存の証明書	証明書の次回更新までにオプトアウトを設定する
新規の証明書を2018年4月24日以前に発行する	証明書の次回更新までにオプトアウトを設定する
新規の証明書を2018年4月24日以降に発行する	証明書発行時にオプトアウトを設定する

証明書の説明

オプトアウトの対応

発行済みの既存の証明書

証明書の次回更新までにオプトアウトを設定する

新規の証明書を2018年4月24日以前に発行する

証明書の次回更新までにオプトアウトを設定する

新規の証明書を2018年4月24日以降に発行する

証明書発行時にオプトアウトを設定する

現時点ではAWS Management Consoleではオプトアウトに対応していないため、設定はAWS CLIなどACMのAPIを呼ぶ仕組みで対応します。今回はAWS CLIで設定します。

既存の証明書でCTをオプトアウトする

AWS CLIで証明書のオプションを変更するaws acm update-certificate-optionsコマンドの--optionsオプションで指定します。証明書をARNで選択するので事前に控えておきましょう。

$ aws acm update-certificate-options \ --certificate-arn arn:aws:acm:us-east-1:XXXXXXXXXXXX:certificate/XXXXXXXXXXXX \ --options CertificateTransparencyLoggingPreference=DISABLED $

設定したら、aws acm describe-certificateコマンドで確認しましょう。

$ aws acm describe-certificate \ --certificate-arn arn:aws:acm:us-east-1:XXXXXXXXXXXX:certificate/XXXXXXXXXXXX { "Certificate": { "CertificateArn": "arn:aws:acm:us-east-1:XXXXXXXXXXXX:certificate/XXXXXXXXXXXX", "Status": "ISSUED", "Options": { "CertificateTransparencyLoggingPreference": "DISABLED" }, "SubjectAlternativeNames": [ "www.example.com" ], :(以下略)

OKですね。

新規の証明書でCTをオプトアウトする

証明書発行時にCTをオプトアウトします。AWS CLIで証明書発行をリクエストするaws acm request-certificateコマンドの--optionsオプションで指定します。他のオプションは任意のものでOKです。

$ aws acm request-certificate \ --domain-name www.example.com \ --validation-method DNS \ --options CertificateTransparencyLoggingPreference=DISABLED { "CertificateArn": "arn:aws:acm:us-east-1:XXXXXXXXXXXX:certificate/XXXXXXXXXXXX" } $

既存の設定変更と同様に、aws acm describe-certificateコマンドで確認するのが良いでしょう。

AWS Certificate Manager (ACM)のCT(Certificate Transparency)をオプトアウトする

CT(Certificate Transparency)のオプトアウトとは

オプトアウト手順

既存の証明書でCTをオプトアウトする

新規の証明書でCTをオプトアウトする

まとめ

参考URL

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

AWS Certificate Manager (ACM)のCT(Certificate Transparency)をオプトアウトする

CT(Certificate Transparency)のオプトアウトとは

オプトアウト手順

既存の証明書でCTをオプトアウトする

新規の証明書でCTをオプトアウトする

まとめ

参考URL

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

関連記事

[Update] การเชื่อมต่อ Elastic Beanstalk กับ CloudFront และทำให้เป็น HTTPS

Amazon Route 53で取得したドメインを使って、AWS Certificate Managerで証明書を発行してみた

【Security Hub修復手順】[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります

Amazon CloudFront で RSA-4096 の証明書に対応しました

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！