みなさん、こんにちは。サニービュー事業部の小寺です。
ACMのパブリック証明書をお使いの方多いですよね。当社でも活用しております。

そんな皆様にAWS社から通知があった「パブリック証明書の発行元が AWS Certificate Manager (ACM) の中間認証局 (ICA) に変更されます」について、どう仕組みが変わるのか簡単にお知らせさせていただきます。

そもそもACMのパブリック証明書って

AWS Certificate Manager(ACM)を使うと無料で、 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単に発行、管理、デプロイができます。証明書にはプライベート証明書とパブリック証明書の2つがありますが、 パブリック証明書はインターネットのリソースを特定して、安全な通信ができるものです。

ACMのパブリック証明書は、SSL/TLS の終端となるウェブサイトやアプリケーションで使用する、ドメイン検証済み (DV) パブリック証明書です。ACMは無料で利用でき、証明書の自動更新も可能、証明書発行までも数分で行える優れたサービスです。

パブリックとプライベートの ACM 証明書は、以下の AWS のサービスで使えます。
• Elastic Load Balancing
• Amazon CloudFront
• Amazon API Gateway
• AWS Elastic Beanstalk
• AWS CloudFormation

https://aws.amazon.com/jp/certificate-manager/より引用

何が変わるの?

通知内容について、再度アップいたします。

ACM を通じて取得したパブリック証明書はすべて、当社が管理する複数の中間 CA (ICA) または下位 CA のいずれかから発行されます。
ICA はルート CA に接続されており、お客様がご利用するエンドエンティティ証明書の発行に使用されます。
お客様が証明書のPinningを通じてICA情報を明示的に使用していない限り、今回の ICA 変更による影響はございません。

現状、ACM のパブリック証明書は、Amazon の認証機関 (CA) で検証されます。
・ルートCAとは
他の CA によって認証されておらず、自身の評判のみに依拠しているCAは、ルートCAと呼ばれます。
証明書に署名 (発行) するためのシークレットキーと、ルート CA を識別し、シークレットキーを CA 名にバインドするルート証明書で構成されています。
ルート証明書は、環境内の各エンティティの信頼ストアに配布されます。

・中間CAとは
デジタル証明書を発行する認証局(CA:Certificate Authority)のうち、上位の認証局の発行した証明書により自らの正当性を証明する機関を意味します。
つまりは、ルートCA(ルート認証局)以外の認証局のことです。その中間CAの下位にあるのが、下位CAです。
認証局 (CA) は、SSL/TLS 証明書などの証明書を発行するために中間 CA (ICA) 証明書を使用します。中間CA 証明書は、信頼されたルート証明書にリンクし、ブラウザや他のアプリケーションがそれを信頼できるようにします。

・証明書の Pinning
証明書ピニング (SSL ピンニングとも呼ばれる) は、アプリケーションで、ホストに証明書階層ではなく X.509 証明書またはパブリックキーを直接関連付けることによって、リモートホストを検証するのに使用できるプロセスです。

既存も含めた影響は?

新しい中間CA証明書がリリースされても、既存の旧中間CA証明書を使用してる証明書には影響はありませんし、
旧中間CA証明書が失効するわけではないので、そのまま利用ができます。
,お知らせの通り、新規取得時も証明書のピニングをしていなければ、影響を受けることはありません。

いつから変わるの?

2022年10月11日以降、ACM を通じて取得したパブリック証明書から変更されます。AWSで管理する複数の中間 CA (ICA) または下位CAのいずれかから発行されるようになります。

ここからは私見ですが、本変更自体は、証明書ライフサイクルへ対応を迅速に行うことや、中間証明書のピニングやアプリケーションのハードコーディングの防止策の一つになるのかな、と。