为什么 RDS 不使用 Amazon 根证书进行 SSL 连接
Why RDS does not use Amazon root certificate for SSL connection
根据 the documentation of RDS,需要安装特定的 public 证书(“rds-ca-2019-root.pem”)才能使用带 SSL 的 RDS。
但是,Amazon 有一个 public 证书“Amazon Root CA”,它已经安装在大多数 OS 上。
Amazon 的一项服务 RDS 是否有任何理由不使用“Amazon Root CA”而是使用用户必须在其服务器上自行安装的自定义证书?更一般地说,是否有任何理由每次都使用不同的证书提供者而不是相同的证书提供者?
来自他们的announcement
The SSL/TLS certificates for RDS, Aurora, and Amazon DocumentDB expire and are replaced every five years as part of our standard maintenance and security discipline.
同时,Amazon Root CA 的当前证书要到 2037 年才会过期。
这里的用例明显不同,期望 RDS、Aurora 和 DocumentDB 的用户至少每五年维护一次应用程序,而 Amazon Root CA 适用于部署新 CA 根证书的应用程序是昂贵的还是不可能的。
根据 the documentation of RDS,需要安装特定的 public 证书(“rds-ca-2019-root.pem”)才能使用带 SSL 的 RDS。
但是,Amazon 有一个 public 证书“Amazon Root CA”,它已经安装在大多数 OS 上。
Amazon 的一项服务 RDS 是否有任何理由不使用“Amazon Root CA”而是使用用户必须在其服务器上自行安装的自定义证书?更一般地说,是否有任何理由每次都使用不同的证书提供者而不是相同的证书提供者?
来自他们的announcement
The SSL/TLS certificates for RDS, Aurora, and Amazon DocumentDB expire and are replaced every five years as part of our standard maintenance and security discipline.
同时,Amazon Root CA 的当前证书要到 2037 年才会过期。
这里的用例明显不同,期望 RDS、Aurora 和 DocumentDB 的用户至少每五年维护一次应用程序,而 Amazon Root CA 适用于部署新 CA 根证书的应用程序是昂贵的还是不可能的。