web-dev-qa-db-fra.com

Mettre à jour les certificats SSL / TLS Amazon RDS - Elastic Beanstalk

AWS a récemment annoncé la nécessité de:

Mettez à jour vos certificats SSL/TLS Amazon RDS d'ici le 31 octobre 2019

J'ai une application Rails hébergée avec un équilibreur de charge Elastic Beanstalk classique, qui se connecte à une base de données Postgres à l'aide de RDS.

Les étapes requises selon Amazon sont les suivantes:

  1. Téléchargez le nouveau certificat SSL/TLS depuis Utilisation de SSL/TLS pour crypter une connexion à une instance de base de données.
  2. Mettez à jour vos applications de base de données pour utiliser le nouveau certificat SSL/TLS.
  3. Modifiez l'instance de base de données pour changer l'autorité de certification de rds-ca-2015 à rds-ca-2019.

( https://docs.aws.Amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html )

Étant donné que mes équilibreurs de charge sont configurés comme ceci (connexion à mes instances EC2 via le port HTTP 80 (pas SSL), cela signifie-t-il que je n'ai pas besoin de suivre les étapes 1 et 2? Et que de suivre uniquement l'étape 3?

LoadBalancerListeners

Ou dois-je télécharger les certificats mis à jour et les installer/ajouter manuellement à mon équilibreur de charge ou à mes instances EC? Je ne sais pas comment faire ça.

ruby-on-railsamazon-web-servicesssl-certificateamazon-elastic-beanstalkrds
14
stwr667

Les étapes 1 et 2 ne sont nécessaires que si votre application la connexion avec MySQL est cryptée TLS .

Ne modifiez pas le paramètre LB TLS , cela peut casser votre application, LB TLS est autre chose, où RDS TLS est autre chose.

Si votre application vient de créer une connexion simple, vous pouvez effectuer directement l'étape 3 en toute sécurité.

Modifiez l'instance de base de données pour changer l'autorité de certification de rds-ca-2015 à rds-ca-2019.

Habituellement, la pratique pour DB, DB doit être dans un sous-réseau privé et il ne doit pas être accessible à partir du public, TLS est utile lorsque votre connexion de base de données et backend est sur Internet, pas dans VPC.

Avec une connexion non cryptée entre le client MySQL et le serveur, une personne ayant accès au réseau pourrait surveiller tout votre trafic et inspecter les données envoyées ou reçues entre le client et le serveur.

8
Adiii

Il y a une réponse beaucoup plus facile à la question:

Vous n'avez pas besoin d'installer quoi que ce soit dans votre environnement Beanstalk si vous mettez à niveau le certificat CA utilisé par le RDS qui lui est attaché. https://stackoverflow.com/a/59742149/7051819

Suivez simplement le point 3 et ignorez 1 et 2.

(Oui, j'ai écrit cette réponse moi-même).

2
Rbbn