AWS異なる地域に同じワイルドカード証明書

Question

異なるワイルドカード証明書を異なる地域で要求することは安全ですか？私はアイルランド地域でプロダクションELBに接続されているものを使用していますが、CloudFrontに接続するにはN.Virginia地域で同じものが必要です。

Answer 1

Amazon証明書マネージャーから同じ証明書を複数回（同じ地域または地域を問わず）リクエストすると、実際に同じと同じ証明書が複数回発行されることはありません。複数の証明書はそれぞれ同じ主語と主語代替名を持ちますが、本当に「同じ」証明書ではありません。彼らは異なる秘密鍵とARNを持っています。

2つの証明書には何も共通点がないため、地域間で同じサブジェクト（ドメイン）を持つ証明書を要求する場合にセキュリティ上の影響はありません。

HPKPを使用している場合、複数の有効な公開鍵の存在を考慮する必要があることに注意してください。

また、証明書がワイルドカードドメインの場合はの場合、自動的に証明書が更新されないことがあります。更新Eメールを手動で承認する必要があるかもしれません。

Answer 2

セキュリティは証明書を処理しませんが、プライバシーの秘密鍵レベルを処理します。

同じFQDN（ワイルドカードかどうか）の別個のキーを持つ2つの証明書があるとします.1つはN Virginiaに、もう1つはアイルランドにあります。

秘密鍵がN. Virginiaで盗まれた場合、N-Virginiaのものとアイルランドのもののいずれかのサービスで、通信内容を復号化するためにMan-in-the-Middle攻撃を行うことができます。したがって、異なる証明書と秘密鍵を持っていても何も変わりません。

ただし、PFSプロパティなしで暗号スイートを使用している場合（https://en.wikipedia.org/wiki/Forward_secrecyを参照）、Nバージニアの秘密鍵は、Nバージニアサービスとの通信の復号化のみを許可します。 このような状況では、異なる証明書と秘密鍵を使用するとセキュリティレベルが変わります。

AWS ELBとAWS CloudFrontを使用すると、AWSは自分の鍵を使用することを選択したとしても、秘密鍵を認識します。したがって、あなたのセキュリティはあなたに依存しません。これは、AWSが秘密鍵を保護する方法に依存し、そのことについての情報を持つことはできません。異なる地域に共通の秘密鍵を持つことは、地域ごとに1つの鍵を持つよりも安全性が劣るかもしれません。

AWSで知られていない秘密鍵でAWSサービスを使用する唯一の方法は、CloudHSM AWSサービスを使用するか、HSMを購入してAWS VPCに接続することです。残念ながら、このサービスを使用するAWSでWebサービスを利用するには、CloudHSMと顧客HSMがELBまたはCloudFrontと互換性がないため、EC2インスタンスにWebサーバーをインストールする必要があります。

状況によっては、AWSを信頼する必要があります。