メモ > サーバ > 各論: エトセトラ > SSL証明書のピンニングについて
■SSL証明書のピンニングについて
AWSから以下のメールが送られてきた
「証明書のピン留め」という言葉が見慣れなかったので調べたメモ
お客様が AWS アカウント の AWS Certification Manager (ACM) に、少なくとも 1 つの有効期限内の Amazon 発行のパブリック証明書 [1] をお持ちの方にご連絡しております。
2023 年 2 月 1 日から 2023 年 3 月 31 日までの間に、Amazon は Amazon が発行したすべてのパブリック証明書を、旧来の中間 CA, intermediate certificate authority (ICA) から、2022 年 10 月に導入された複数の中間 CA (ICA) /下位認証局のいずれかに移行します。
ICA はルート CA にチェーンされ、お客様が受け取って使用するリーフ証明書の発行に使用されます。
新しい ICA の詳細については、AWS セキュリティブログ [2] をご参照ください。
証明書のピン留めによって既存の ICA 情報を明示的に利用しない限り、お客様による操作は必要ありません。
ICA にピン留めする場合は、AWS セキュリティブログ [2] にて ICA および実行できるアクションの詳細をご確認頂けます。
既存の証明書の新しい ICA への移行は、追加の通知なしで行われます。
移行された証明書には、現在の証明書と同様に、既存の証明書の有効期限が保持されます。
証明書の発行日は ICA の移行日に変更されます。
注意事項としては、新たにリクエストされた Amazon パブリック証明書は、2022 年 10 月 8 日時点で、既に新しい ICA から発行されています。
また Amazon は、過去 3 か月間に使用されていないパブリック証明書を新しい ICA に移行しております。
Amazon は 2023 年 5 月末までに、旧来の ICA を失効し、中間 CA に関する既知の問題を修正するとともに、ACM が発行する証明書をより最新の証明書規格に準拠するものに移行する予定です。
[1] https://www.amazontrust.com/repository/
[2] https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities...
所持ドメインから不正な証明書を発行されないようにする技術だが、
意図しないアクセスブロックが発生することがあるなど、デメリットの方が大きいとなって利用されなくなった。
…とのこと。
自堕落な技術者の日記 : HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える - livedoor Blog(ブログ)
http://blog.livedoor.jp/k_urushima/archives/1811745.html
証明書のピンニングはやめましょう | DigiCert.com
https://www.digicert.com/jp/blog/certificate-pinning-what-is-certificate-pinning
証明書のピンニングはやめましょう
https://rms.ne.jp/sslserver/basis/pinning2/
【お知らせ】パブリック証明書の発行元が AWS Certificate Manager (ACM) の中間認証局 (ICA) に変更されます | SunnyCloud
https://www.sunnycloud.jp/column/20220922-01/
AWSで証明書のピン止めを行う方法は、一応以下で解説されている。
ただし公式にも非推奨である旨が警告されている。
証明書のピンニングの問題 - AWS Certificate Manager
https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/troubleshooting-pinning.html
【AWS】無料のサーバ証明書を公開鍵ピンニングする - Qiita
https://qiita.com/ruddy95/items/07735c1f25fba6a38fc2