Buenas Prácticas para el Uso de Certificados SSL en DANAconnect
DANAconnect, al operar sobre AWS, recomienda seguir las mejores prácticas para la gestión de certificados SSL y evitar posibles fallos en la conexión a los servicios appserv.danaconnect.com, api.danaconnect.com, y ws.danaconnect.com.
Los clientes deben validar el certificado SSL directamente en línea cada vez que consuman un servicio. No se recomienda el almacenamiento de copias locales de los certificados, ya que estos pueden quedar desactualizados. Si un certificado se actualiza o renueva en DANAconnect, un centro de confianza con copias locales provocará la falla del servicio al seguir utilizando un SSL inválido.
Es responsabilidad de los clientes monitorear estos certificados si eligen mantener copias locales de los SSL, pero lo mejor es hacer la validación del SSL en tiempo real para evitar estos problemas.
AWS permite configurar un registro CAA para los dominios del cliente, lo que autoriza exclusivamente a AWS Certificate Manager (ACM) emitir certificados SSL para esos dominios o subdominios. Configurar un registro CAA asegura que solo AWS podrá emitir estos certificados, evitando cualquier riesgo de emisión no autorizada.
Los clientes deben agregar los siguientes dominios de confianza en sus registros CAA para el uso con DANAconnect sobre AWS:
- amazon.com
- amazontrust.com
- awstrust.com
- amazonaws.com
Para garantizar la estabilidad y seguridad de los servicios en DANAconnect, es crucial que los clientes validen los SSL en línea y configuren los registros CAA adecuados en sus DNS. Estas medidas protegen contra la invalidación de certificados y evitan interrupciones en el consumo de los servicios.
1. Validación en Línea del SSL
Los clientes deben validar el certificado SSL directamente en línea cada vez que consuman un servicio. No se recomienda el almacenamiento de copias locales de los certificados, ya que estos pueden quedar desactualizados. Si un certificado se actualiza o renueva en DANAconnect, un centro de confianza con copias locales provocará la falla del servicio al seguir utilizando un SSL inválido.
Es responsabilidad de los clientes monitorear estos certificados si eligen mantener copias locales de los SSL, pero lo mejor es hacer la validación del SSL en tiempo real para evitar estos problemas.
2. Configuración de Registros CAA en DNS
AWS permite configurar un registro CAA para los dominios del cliente, lo que autoriza exclusivamente a AWS Certificate Manager (ACM) emitir certificados SSL para esos dominios o subdominios. Configurar un registro CAA asegura que solo AWS podrá emitir estos certificados, evitando cualquier riesgo de emisión no autorizada.
Los clientes deben agregar los siguientes dominios de confianza en sus registros CAA para el uso con DANAconnect sobre AWS:
- amazon.com
- amazontrust.com
- awstrust.com
- amazonaws.com
Conclusión
Para garantizar la estabilidad y seguridad de los servicios en DANAconnect, es crucial que los clientes validen los SSL en línea y configuren los registros CAA adecuados en sus DNS. Estas medidas protegen contra la invalidación de certificados y evitan interrupciones en el consumo de los servicios.
Actualizado el: 13/09/2024
¡Gracias!