最近我收到了亚马逊的一条消息/通知。
在2020年3月5日前更新您的Amazon RDS SSL/TLS证书
为避免您使用RDS和Aurora数据库的应用程序中断,请在2020年3月5日之前更新这些数据库的证书颁发机构(CA)证书。我们强烈建议您在2020年2月5日之前进行更新,以留出部署、测试和验证的时间。在2020年1月14日之后创建的新数据库将默认使用新的CA证书。请确保您先使用新证书更新客户端应用程序。查找新的CA证书和信息:RDS Aurora。
我们在RDS中有几个DB实例,并且通过我们的客户端/php应用程序连接它们而不使用SSL。那么,我的问题是,我们是否仍需要更新Amazon RDS SSL/TLS证书?如果我们这样做,是否仍需要更新我们的客户端应用程序以使用SSL?
答:需要更新Amazon RDS SSL/TLS证书。即使您当前没有使用SSL,在证书到期之前,更新证书可以确保在未来能够使用SSL连接。同时,请确保更新您的客户端应用程序以使用新证书。不需要在您的RDS实例上更新SSL/TLS证书,尽管亚马逊最终会自动为您完成更新。
如果我们这样做,我们是否仍需要更新我们的客户端应用程序以使用SSL?不需要。如果您以前未在客户端应用程序中安装SSL证书,那么为什么需要在客户端应用程序中安装新版本的证书呢?
重要细节如下:
如果您的应用程序不使用SSL/TLS连接,则无需重新启动数据库。在这种情况下,在2020年2月5日至3月5日期间,RDS将在您的数据库主机上分阶段部署新证书,而无需重新启动数据库,以避免影响您的应用程序。因此,新证书直到下次数据库重启才会生效。 如果您不确定您的应用程序是否使用SSL/TLS连接,请查看以下文档以验证您的应用程序是否使用SSL/TLS连接:
对于RDS:https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html
对于Amazon Aurora:https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.SSL-certificate-rotation.html
