Cùng Sunny Cloud tìm hiểu về phương pháp phản hồi thông báo từ AWS của chứng chỉ TLS/SSL RDS Aurora. Để ưu tiên bảo mật, AWS cung cấp chứng chỉ mới như một bản cập nhật bảo mật.
Thông báo cập nhật chứng chỉ TLS/SSL
Thông thường, tiêu đề email sẽ như sau:
[Action required] Update Your Amazon RDS and Amazon Aurora SSL/TLS Certificates by August 22, 2024 [AWS Account: XXXXXXXX] [Region name]
Áp dụng cho các tài khoản AWS sử dụng chứng chỉ CA Amazon RDS rds-ca-2019, sẽ hết hạn vào tháng 8 năm 2024.
Bạn có thể kiểm tra các tài nguyên bị ảnh hưởng trong phần nội dung email: “The following is a list of affected resources.” (sau đây là danh sách các tài nguyên bị ảnh hưởng)
Nếu nhìn vào bảng điều khiển quản lý AWS thực tế, hiển thị của rds-ca-2019 đã thay đổi.
Bạn cần làm gì khi nhận được thông báo
Trong mail thông báo cập nhật chứng chỉ TLS/SSL có mô tả tóm tắt quy trình xử lý như sau:
- Tải xuống chứng chỉ SSL/TLS mới.
- Cập nhật ứng dụng để sử dụng chứng chỉ SSL/TLS mới.
- Thay đổi instance DB để thay đổi chứng chỉ từ rds-ca-2019 sang rds-ca-rsa2048-g1 (tùy thuộc vào loại động cơ DB đang sử dụng, có thể là rds-ca-rsa4096-g1 hoặc rds-ca-ecc384-g1).
Amazon RDS Proxy và Aurora Serverless sử dụng các chứng chỉ từ AWS Certificate Manager (ACM) như một điều kiện tiên quyết.
Trường hợp đang sử dụng RDS Proxy, khi cập nhật chứng chỉ SSL/TLS thì không cần cập nhật ứng dụng sử dụng kết nối RDS Proxy.
Lịch trình cần chú ý
Theo thông báo hiện tại, thời hạn phản hồi cuối cùng là ngày 22 tháng 8 năm 2024. Mặc định, việc khởi động lại instance DB là cần thiết, vì vậy doanh nghiệp cần có kế hoạch ứng phó. Đầu tiên, bạn nên thay đổi từ môi trường phát triển, tham khảo tại đây:
Quy trình phản hồi RDS
Quy trình phản hồi Aurora
Nếu không phản hồi, điều gì sẽ xảy ra?
Nếu đang sử dụng kết nối SSL/TLS với chứng chỉ, bạn không thể kết nối với cơ sở dữ liệu RDS. Tính đến ngày 31 tháng 8 năm 2023, AWS chưa thông báo về bản cập nhật bắt buộc.
Trả lời