Обновите сертификаты Amazon RDS SSL / TLS - Elastic Beanstalk

Question

AWS недавно объявил о необходимости:

Обновить ваши сертификаты Amazon RDS SSL / TLS до 31 октября 2019 года

У меня есть приложение Rails, размещенное на классическомБалансировщик нагрузки Elastic Beanstalk, который подключается к базе данных Postgres с помощью RDS.

Согласно Amazon необходимо выполнить следующие действия:

1. Загрузить новый сертификат SSL / TLS из раздела Использование SSL / TLS дляЗашифруйте соединение с экземпляром БД.
2. Обновите приложения базы данных, чтобы использовать новый сертификат SSL / TLS.
3. Измените экземпляр БД, чтобы сменить ЦС с rds-ca-2015 на rds-ca-2019.

(https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL-certificate-rotation.html)

Поскольку мои балансировщики нагрузки настроены следующим образом (подключение к моим экземплярам EC2 через порт HTTP 80 (не SSL), делает этозначит, мне не нужно выполнять шаги 1 и 2? И только следовать шагу 3?

Или мне нужно загрузить обновленные сертификаты иустановить / добавить их в мои экземпляры балансировщика нагрузки или EC вручную? как это сделать.

Answer 1

Шаг 1 и 2 требуется только в том случае, если ваше приложение соединение с MySQL зашифровано TLS .

Не изменяйте настройку LB TLS , так как это может повредить ваше приложение, LB TLS - это что-то еще, где RDS TLS - это что-то другое.

Если ваше приложение просто создает простое соединение, вы можете выполнить непосредственно шаг 3.

Измените экземпляр БД, чтобы изменить ЦС с rds-ca-2015 на rds-ca-2019.

Обычно для БД рекомендуется, чтобы БД находилась в частной подсети, и она должнаTLS недоступен для общего доступа, если ваше подключение к базе данных и внутреннему интерфейсу находится в Интернете, а не в VPC.

При незашифрованном соединении между клиентом MySQL и сервером, кто-то имеет доступ ксеть может отслеживать весь ваш трафик и проверять данные, отправляемые или получаемые между клиентом и сервером.