Elastic Load Balancing: NLBはサーバ名インディケーション（SNI）を使った複数のTLS証明書をサポートしました（2019/09/12）

はじめに

本投稿は、英語とAWSの勉強のためにAWSのannouncements等を翻訳したものになります。基本的に東京リージョンに関係のあるものを翻訳したいと思いますが、興味があれば直接関係がないものもやりたいと思います。タイトルの日付はAWSの記事の公開日になります。平日は毎日１記事翻訳したいと思います。

注意事項

原文中には詳細な製品ページなどへのリンクが貼られていることが多いですが、翻訳内容にはつけていないので、知りたい方は原文をご参照ください。
また、本投稿内容で読者の方が何か不利益を被ったとしても当方は一切責任を負いませんので予めご了承の程よろしくお願いいたします。何かご指摘などありましたら、ご連絡いただければ幸いです。

翻訳元URL

https://aws.amazon.com/about-aws/whats-new/2019/09/elastic-load-balancing-network-load-balancers-now-supports-multiple-tls-certificates-using-server-name-indication/

翻訳

We are pleased to announce support for multiple TLS certificates on Network Load Balancers using Server Name Indication (SNI). You can now host multiple secure applications, each with its own TLS certificate, on a single load balancer listener. This allows SaaS applications and hosting services to run behind the same load balancer, improving your service security posture, and simplifying management and operations.

私たちはサーバ名インディケーション（SNI）を使ったNLBの複数TLS証明書のサポートを発表できてうれしく思います。一つのロードバランサーのリスナーに各々のTLS証明書を使った複数のセキュアなアプリケーションを配置することができます。これによりSaaSアプリケーションとホスティングサービスを、サービスのセキュリティの状態を改善し管理と運用を簡略化しつつ、同じロードバランサーの後ろで動かすことができます。

Prior to this launch, Network Load Balancers supported only one certificate per TLS listener and you had to use Wildcard or Multi-Domain (SAN) certificates to host multiple secure applications behind the same load balancer. The potential security risks with Wildcard certificates and the operational overhead of managing Multi-Domain certificates presented challenges. With SNI support you can associate multiple certificates with a listener, allowing each secure application behind a load balancer to use its own certificate.

このリリースに先立ち、NLBはTLSリスナーにつき一つの証明書をサポートし、同じロードバランサーの後ろに複数のセキュアなアプリケーションを配置するにはワイルドカードかマルチドメイン（SAN）証明書を使わなければいけませんでした。ワイルドカード証明書とマルチドメイン証明書を管理する運用コストは、潜在的なセキュリティリスクがありました。SNIのサポートにより、複数の証明書を１つのロードバランサー１つのリスナーに関連付け、セキュアなアプリケーションにそれぞれの証明書を使って１つのロードバランサの後ろに配置できます。

Network Load Balancers also support a smart certificate selection algorithm with SNI. If the hostname indicated by a client matches multiple certificates, the load balancer determines the best certificate to use based on multiple factors including the client TLS capabilities.
SNI is integrated with AWS Certificate Manager (ACM) and AWS Identity and Access Management (IAM) for certificate management. You can associate up to 25 certificates to a load balancer in addition to a default certificate per listener.

また、NLBはSNIによるスマートに証明書を選択するアルゴリズムもサポートします。クライアントによって示されたホスト名が複数の証明書と一致した場合、ロードバランサーはクライアントのTLSの性能を含む複数の要素に基づき、最適な証明書を選択します。SNIは証明書の管理のために、ACMおよびIAMと統合しています。デフォフトのリスナーごとの１つの証明書に加えて、25個までの証明書をロードバランサーに関連付けられます。

所感

この機能はALBではすでに実装されているようですね。