13.05.2015, 14.00 Uhr PST – aktualisiert am 29.09.2015
Zertifizierungsstellen (CA) und Browserhersteller wie Google und Microsoft stellen die Unterstützung von SHA1 als Hashing-Algorithmus für die Signatur von SSL/TLS-Zertifikaten ein (weitere Informationen finden Sie in diesem Beitrag des CA/Browser-Forums). Deshalb stellt AWS ebenso die Nutzung von SHA1 für digitale Signaturen in den SSL/TLS-Zertifikaten bis zum 30. September 2015 ein und aktualisiert auf den SHA256 Hash-Algorithmus für SSL/TLS. Aus diesem Grund müssen Kunden, die AWS-Webseiten entweder über Browser oder programmgesteuert über HTTPS (z. B. die AWS-Konsole, das Kundenportal oder die Startseite) bzw. AWS API-Endpunkte aufrufen, dafür sorgen, dass sie das neueste Zertifikatpaket auf ihren Client-Rechnern verwenden.
Aktualisieren Ihres Client-Browsers
Sie können das Zertifikatpaket Ihres Browser aktualisieren, indem Sie den Browser selbst aktualisieren. Anleitungen für die gängigsten Browser sind auf den Websites der jeweiligen Browser zu finden: Chrome, FireFox und Safari. Zertifikatpakete für Internet Explorer werden von Windows verwaltet. Deshalb müssen Sie das Betriebssystem ebenfalls aktualisieren.
Eine Liste häufig verwendeter Browser und der Versionen mit SHA2-Unterstützung (die Familie der Hash-Funktionen, die SHA256 enthält) finden Sie hier.
Viele Kunden haben ihre Browser bereits aktualisiert und sollten keine Probleme mit dem Zugriff auf AWS-Endpunkte nach dieser Änderung haben. Kunden, die ihre Browser noch nicht aktualisiert haben, sollten das so schnell wie möglich tun. Kunden, die sich nicht sicher sind, ob ihr Browser die neuesten Zertifikate verwendet, können einen Test-Endpunkt von AWS aufrufen: https://www.amazonsha256.com. Wenn Ihr Browser SHA256 unterstützt, wird Ihnen eine Meldung angezeigt, die angibt, dass die Aushandlung erfolgreich war.
Wählen Sie Ihre Programmiersprache
Wenn Sie programmgesteuert auf AWS zugreifen, können Sie eine ZIP-Datei mit Testskripts für unterstützte Sprachen herunterladen und den unteren Anweisungen entsprechend ausführen. Werden keine Fehler angezeigt, ist Ihre Software mit unseren neuesten Zertifikaten kompatibel. Andernfalls müssen Sie Ihre Zertifikatpakete aktualisieren. Für andere Sprachen müssen Sie einen Test schreiben, der für https://www.amazonsha256.com einen HTTPS GET ausführt, und prüfen, dass der TLS Handshake erfolgreich ist.
Laden Sie die ZIP-Datei mit den Testskripts hier herunter.
Java:
Nach dem Herunterladen der ZIP-Datei und dem Extrahieren des Java-Skripts führen Sie es folgendermaßen aus:
$ javac ShaTest.java
$ java ShaTest
Ruby:
Nach dem Herunterladen der ZIP-Datei und dem Extrahieren des Ruby-Skripts führen Sie es folgendermaßen aus:
$ ruby shaTest.rb
PHP:
Nach dem Herunterladen der ZIP-Datei und dem Extrahieren des PHP-Skripts laden Sie das neueste Phar-Release herunter: https://github.com/aws/aws-sdk-php/releases/download/2.8.1/aws.phar und speichern Sie es im selben Verzeichnis wie shaTest.php
Führen Sie das PHP-Skripts folgendermaßen aus:
$ php shaTest.php
JavaScript:
Nach dem Herunterladen der ZIP-Datei und dem Extrahieren des Skripts führen Sie es folgendermaßen aus:
$ node shaTest.js
Python:
Nach dem Herunterladen der ZIP-Datei und dem Extrahieren des Python-Skripts führen Sie es folgendermaßen aus:
$ python shaTest.py
.NET:
.NET-Kunden, die Windows Server 2003 oder neuer nutzen, sind nicht betroffen, solange die neuesten Aktualisierungen von Windows Update installiert wurden.