AWSは最近、AWS Certificate ManagerからパブリックSSL/TLS証明書をエクスポート可能にする機能を発表した。このアップデートにより、ユーザーは証明書とその秘密鍵をエクスポートし、AWS管理サービス以外でも利用可能になる。
エクスポート可能なパブリック証明書は、ACMが発行した証明書をAmazon EC2インスタンス、コンテナ、オンプレミスホストに展開することを可能にし、AWS、ハイブリッド、マルチクラウドのワークロードをサポートする。AWSのリードブロガーChanny Yun氏は次のように説明している。
エクスポート可能なパブリック証明書は395日間有効です。発行時と更新時に料金が発生します。ACMからエクスポートされたパブリック証明書はAmazon Trust Servicesによって発行され、Appleやマイクロソフトなどの一般的なプラットフォームや、Google ChromeやMozilla Firefoxなどの人気ウェブブラウザから広く信頼されています。
以前は、ユーザーはAWS Certificate Manager内でパブリック証明書を作成するか、サードパーティの認証局(CA)によって発行された証明書をインポートしてAWSサービス(Elastic Load Balancing、CloudFront、API Gatewayなど)で使用するしかなかった。しかし、これらの証明書をエクスポートしたり、外部サービスやEC2インスタンス用の証明書を作成・管理したりする方法はなかった。
The Duckbill GroupのチーフクラウドエコノミストCorey Quinn氏は、「AWS Certificate Manager Has Announced Exportable TLS Certificates, and I'm Mostly Okay With It」という長文の記事を公開し、新機能についてレビューしている。Quinn氏は次のように述べている。
価格は非常に妥当です。ドメインごとに15ドル、またはワイルドカード証明書の場合は149ドルです。これが少し高いと感じたのですが、以前の価格を思い出してみると、そして現在もそうですが、信頼できるベンダーからの証明書が1枚400ドルというのは珍しくありませんでした。(中略)ACMの価格設定は比較的お得です。
多くのクラウド実務者がLet's Encryptのような無料オプションに対する新しいソリューションの利点を疑問視する中、AWSのソリューションアーキテクトWojtek Szczepucha氏は、今回の発表の主な目的を次のように強調している。
ガバナンスの観点から規制やコンプライアンスを満たします。運用の観点から管理が簡単です。これは何も突如として発明されたものではなく、顧客からの要望に基づいています。
エクスポート機能はコミュニティから好評を得ており、新しい証明書は現在1年以上有効だが、SSL/TLS証明書の有効期間は来年には200日、2027年には100日、2029年には47日まで短縮される予定であるとInfoQが以前報じている。AWS Certificate Managerで証明書を更新する際には、新しい証明書の発行料金が発生する。Yun氏は次のように付け加えている。
Amazon EventBridgeを使用してエクスポート可能なパブリック証明書の自動更新イベントを設定し、証明書の更新を監視し、更新時に証明書の展開を処理するための自動化を作成することが可能です。(中略)これらの証明書をオンデマンドで更新できます。
Quinn氏は次のように警告している。
少なくともローンチ時点では、この機能は自動更新のためのACMEをサポートしていません。つまり、更新には本質的に手動プロセスが必要になる可能性があります。AWS APIを介して証明書発行の全プロセスを自動化できますが、私は十分なエンタープライズソフトウェアを扱ってきたので、これがどのように展開されるかを理解しています。それは手動プロセスです。
顧客は証明書が発行される前にエクスポート可能にすることを選択する必要があり、すでに使用中の証明書を遡ってエクスポートするオプションはない。この仕組みにより、秘密鍵付きの証明書がデフォルトでエクスポートされることはない。
エクスポート可能なパブリック証明書の発行機能は、最近開催されたre:Inforceカンファレンスの主要な発表の一つだった。フィラデルフィアでの3日間のイベント中、クラウドプロバイダーはAWS Backupの論理的に隔離されたボールトにおけるマルチパーティ承認や、リスクの優先順位付けと大規模な対応を可能にする新しいAWS Security Hubなど、その他の新しいセキュリティ機能とサービスを発表した。