2015 年 5 月 13 日下午 2:00(太平洋标准时间)– 2015 年 9 月 29 日更新

证书颁发机构 (CA) 和浏览器制造商(如 Google 和 Microsoft)将不再支持 SHA1 作为用于签名 SSL/TLS 证书的哈希算法(有关更多信息,请参阅 CA/Browser Forum 帖子)。因此,AWS 也将于 2015 年 9 月 30 日停止在 SSL/TLS 证书中使用 SHA1 进行数字签名,并将升级到对 SSL/TLS 使用 SHA256 哈希算法。这意味着,客户通过 HTTPS 访问 AWS 网页(例如,AWS 控制台、客户门户或主页)或访问 AWS API 终端节点(无论是通过浏览器还是以编程方式进行访问)时,将需要确保在其客户端计算机上使用的是最新的证书捆绑包。

更新客户端浏览器

只需更新浏览器,便可以更新浏览器中的证书捆绑包。有关适用于最常见浏览器的说明,请访问相应浏览器的网站:ChromeFireFoxSafari。适用于 Internet Explorer 的证书捆绑包由 Windows 操作系统进行管理,因此请确保也更新操作系统。

您可以在此处查看支持 SHA2(包括 SHA256 在内的哈希函数系列)的常见浏览器和版本列表。

许多客户已经更新了他们的浏览器,在进行此更改后访问 AWS 终端节点时应该没有任何问题。尚未更新浏览器的客户应该尽快更新。不确定所用浏览器是否使用最新证书的客户可以导航到 AWS 设置的测试终端节点:https://www.amazonsha256.com。如果您的浏览器支持 SHA256,则您应该会看到一条消息,表明协商成功。

测试您的编程语言

如果您以编程方式访问 AWS,则可以下载一个包含支持语言的测试脚本的 zip 文件,并按照以下说明执行该文件。如果未显示任何错误,说明您的软件与我们的新证书兼容。否则,您将需要更新您的证书捆绑包。对于其他语言,需要编写一个测试来对 https://www.amazonsha256.com 执行 HTTPS GET 并验证 TLS 握手是否成功。

此处下载包含此测试脚本的 zip 文件。

Java:

下载 zip 文件并提取 Java 脚本后,运行以下命令以执行该脚本:

$ javac ShaTest.java

$ java ShaTest

Ruby:

下载 zip 文件并提取 Ruby 脚本后,运行以下命令以执行该脚本:

$ ruby shaTest.rb

PHP:

下载 zip 文件并提取 PHP 脚本后,下载最新的 phar 版本 (https://github.com/aws/aws-sdk-php/releases/download/2.8.1/aws.phar) 并将其保存在 shaTest.php 所在的目录中

运行以下命令,执行该 PHP 脚本:

$ php shaTest.php

Javascript:

下载 zip 文件并提取脚本后,运行以下命令以执行该脚本:

$ node shaTest.js

Python:

下载 zip 文件并提取 Python 脚本后,运行以下命令以执行该脚本:

$ python shaTest.py

.NET:

运行 Windows 2003 或更高版本的 .NET 客户只要从 Windows Update 安装了最新更新,就不会受到影响。