Alertas de AWS sobre el cambio de certificado de configuración para bases de datos

Los usuarios de bases de datos Amazon Aurora, DocumentDB y RDS deben tener cuidado. De hecho, AWS acaba de notificarles por correo electrónico o a través de un mensaje en su consola de administración la necesidad de descargar e instalar un nuevo certificado de autoridad para sus instancias. "Si no utiliza conexiones SSL/TLS o validación de certificados, no es necesario realizar actualizaciones, pero no recomienda hacerlo para estar listo en caso de que decida utilizar conexiones SSL/TLS en el futuro", dijo AWS en una publicación.

AWS ofrece cada 5 años el cambio a un nuevo certificado SSL/TLS para Amazon Aurora, DocumentDB y RDS, de acuerdo con su política de mantenimiento y seguridad actual. La versión más reciente de este certificado es CA-2019 y AWS especifica que todas las instancias creadas a partir de el 14 de enero de 2020 descansarán automáticamente en él o después. Sin embargo, el proveedor especifica que será posible, de forma temporal, cambiar a una versión anterior del certificado SSL/TLS si es necesario. Tenga cuidado, sin embargo, porque a partir del 5 de marzo de 2020, la versión anterior del certificado, CA-2015, expirará y ya no será posible conectarse a las aplicaciones que lo utilizan.

Algunas regiones de AWS no se ven afectadas

Hay dos maneras de cambiar el certificado. Seleccione el nuevo directamente desde la consola de administración o vaya a través de la interfaz de comandos en línea con la siguiente instrucción: $aws rds modify-db-instance--db-instance-identify database 1 --ca-certificate-identify rds-ca-2019. Con este último, el cambio se realizará en el siguiente mantenimiento, pero también es posible aplicarlo inmediatamente escribiendo: $aws rds modify-db-instance--db-instance-identify database-1 --ca-certificate-identify rds-ca-2019 --apply-immediately.

AWS afirma que el cambio de certificado es necesario para las instancias de base de datos en todas sus regiones comerciales, con la excepción de Asia Pacífico (Hong Kong), Oriente Medio (Bahrein) y China (Ningxia). "Si agrega más nodos a un clúster existente, los nuevos nodos recibirán el certificado CA-2019 si uno o varios de los nodos existentes ya los tienen. De lo contrario, se utilizará el certificado CA-2015", dijo el editor.