Amazon S3和Amazon CloudFront将服务证书迁移到Amazon Trust Services

1. 我托管了一些静态网站，它们托管在S3存储桶上，这些存储桶具有适当的域并使用CloudFront分发

如果您不是直接访问*.cloudfront.net，那么在这种情况下您不会受到影响，因为S3网站端点只支持HTTP(无S)。

2. 我有几个存储桶，我在其中存储一些图像/视频，并使用源链接(https://xxx.s3-ap-southeast-1.amazons.com)在我的其他网站上加载资源

在这种情况下，您会受到影响。

3. 我有一些临时网站，它们托管在S3上，所以它们都有临时URL，例如http://xxx.s3-website.aws.com

您不会受到影响，因为您只使用HTTP(无S)。

电子邮件还说明

亚马逊信托服务证书颁发机构源于AWS购买自2005年起生效的Starfield Services证书颁发机构。这意味着你不应该采取任何行动来使用亚马逊信任服务颁发的证书，因为它已经包含在大多数网络浏览器、操作系统和应用程序的常见信任存储中。但是，如果构建自定义证书信任存储或使用证书固定，则可能需要更改配置。作为最佳实践，我们建议通过以下测试之一验证您的信任存储中是否存在亚马逊信任服务。

意思是，如果您不构建自定义证书信任存储或使用证书固定，则不需要更改任何内容。访问受影响的HTTPS页面时，您或其他用户不会注意到证书的更改。

更多关于证书固定在这里

您的第2点。我的理解是，如果你只是链接到托管的https bucket版本，他们只会更新从digicert到amazon颁发的证书，一切都应该继续工作。

我有一个类似的设置，使用s3上的digicert证书托管视频和图像。我只是复制了我的开发环境；eu-west-3"；它拥有亚马逊最新发布的证书，一切似乎都一样，只是发行人不同。也许这对有更好知识的人来说更清楚，但我只能假设他们只会重新颁发新证书，对我们这些使用旧证书的人没有影响。

我也处于同样的情况。

我做了什么？

这次，我将使用Route 53将所有通过s3.amazonaws.com公开访问的s3资产转移到云前端，我厌倦了时不时地修复和检查链接，我不再与aws绑定共享资源，如果明天我迁移到谷歌只是一个域交换的话

预期是什么？

这并不意味着我们不再可以访问s3或云前端https，我们确实可以，但我们需要确保我们的操作系统、应用程序、浏览器或框架支持亚马逊信任服务CA

说起来容易做起来难，下面的文字取自aws博客。

只要我们运行以下版本或更高版本，我们就是安全的

• 从2005年1月起安装了更新的Microsoft Windows版本、Windows Vista、Windows 7、Windows Server 2008及更新版本
• 适用于Mac OS X 10.4 Release 5、Mac OS X 10.5及更新版本的带有Java的Mac OS X 1040
• Red Hat Enterprise Linux 5(2007年3月)、Linux 6和Linux 7以及CentOS 5、CentOS 6和CentOS 7
• Ubuntu 8.10
• Debian 5.0
• Amazon Linux(所有版本)
• Java 1.4.2_12、Java 5更新2和所有更新版本，包括Java 6、Java 7和Java 8

所有现代浏览器都信任亚马逊的CA。您只需更新浏览器即可在浏览器中更新证书捆绑包。您可以在各自的网站上找到更新以下浏览器的说明：

• 铬
• Firefox
• Safari
• Windows操作系统管理Internet Explorer和Microsoft Edge的证书捆绑包，因此您也必须更新Windows

如果您的应用程序使用自定义信任存储，则必须将Amazon根CA添加到应用程序的信任存储中。执行此操作的说明因应用程序或平台而异。请参阅您正在使用的应用程序或平台的文档。

TL；博士

查看此链接以了解CloudFront&S3将默认证书迁移到Amazon Trust Services 3月23日2021来自DigiCert