Les utilisateurs des bases de données Amazon Aurora, DocumentDB et RDS doivent faire attention. AWS vient en effet de les prévenir par e-mail ou via un message dans leur console de gestion de la nécessité de télécharger et d'installer un nouveau certificat d'autorité pour leurs instances. « Si vous n'utilisez pas de connexions SSL/TLS ou de validation de certificat, vous n'avez pas besoin de faire de mises à jour, mais non vous recommandons de le faire afin d'être prêt au cas où vous décideriez d'utiliser des connexions SSL/TLS à l'avenir », a précisé AWS dans un billet.
La bascule vers un nouveau certificat SSL/TLS pour Amazon Aurora, DocumentDB et RDS est proposée tous les 5 ans par AWS, en adéquation avec sa politique de maintenance et de sécurité en vigueur. La dernière version de ce certificat est CA-2019 et AWS précise que toutes les instances créées à partir - ou après - le 14 janvier 2020 reposeront automatiquement dessus. Cependant, le fournisseur précise qu'il sera possible, de manière temporaire, de rebasculer si nécessaire vers une plus ancienne version du certificat SSL/TLS. Attention toutefois car à compter du 5 mars 2020, la version antérieure du certificat, CA-2015, expirera et il ne sera alors plus possible de se connecter aux applications qui l'utilisent.
Certaines régions AWS non concernées
Pour changer de certificat, deux méthodes existent. Soit sélectionner le nouveau directement depuis la console de gestion, soit passer par l'interface en ligne de commande avec l'instruction suivante : $ aws rds modify-db-instance --db-instance-identifier database 1 \ --ca-certificate-identifier rds-ca-2019. Avec cette dernière, le changement sera effectué à la prochaine maintenance, mais il est aussi possible de l'appliquer immédiatement en tapant : $ aws rds modify-db-instance --db-instance-identifier database-1 \ --ca-certificate-identifier rds-ca-2019 --apply-immediately.
AWS précise que le changement de certificat est requis pour les instances de bases de données sur l'ensemble de ses régions commerciales, exception faite pour l'Asie Pacifique (Hong Kong), le Moyen Orient (Bahreïn) et la Chine (Ningxia). « Si vous ajoutez plus de nœuds à un cluster existant, les nouveaux nœuds recevront le certificat CA-2019 si un ou plusieurs des nœuds existants l'ont déjà. Sinon, le certificat CA-2015 sera utilisé », précise par ailleurs l'éditeur.