13/05/2015, 14:00 h PST: actualización 29/09/2015
Las autoridades de certificación (CA) y los fabricantes de navegadores como Google y Microsoft están retirando la compatibilidad con SHA1 como algoritmo hash utilizado para firmar certificados SSL/TLS (para obtener más información, consulte la publicación del foro sobre CA y navegadores). Por este motivo, AWS también retirará el uso de SHA1 para las firmas digitales en los certificados SSL/TLS antes del 30 de septiembre de 2015 y se actualizará al algoritmo hash SHA256 para SSL/TLS. Esto significa que los clientes que accedan a las páginas web de AWS a través de HTTPS (por ejemplo, la consola, el portal de clientes o la página de inicio de AWS) o que accedan a los puntos de enlace de la API de AWS, ya sea a través de navegadores o de manera programática, tendrán que asegurarse de que están utilizando los paquetes de certificados más recientes en sus máquinas cliente.
Actualización del navegador del cliente
Puede actualizar el paquete de certificados en el navegador simplemente mediante una actualización del navegador. Las instrucciones para los navegadores más comunes se pueden encontrar en los sitios web de los navegadores: Chrome, FireFox, y Safari. Los paquetes de certificados para Internet Explorer son administrados por el sistema operativo de Windows, así que asegúrese de también actualizar el sistema operativo.
Puede ver una lista de los navegadores más comunes y las versiones compatibles con SHA2 (la familia de funciones hash que incluye SHA256) aquí.
Muchos clientes ya han actualizado los navegadores y no deberían experimentar ningún problema para acceder a los puntos de enlace de AWS después de este cambio. Los clientes que no hayan actualizado los navegadores deberán hacerlo lo antes posible. Los clientes que no saben con certeza si están utilizando un navegador con los últimos certificados pueden navegar hasta un punto de enlace de prueba que AWS ha configurado: https://www.amazonsha256.com. Si el navegador es compatible con SHA256, debe ver un mensaje que indique que la negociación fue exitosa.
Prueba del lenguaje de programación
Si accede a AWS de manera programática, puede descargar un archivo zip que contenga los scripts de prueba para los lenguajes compatibles y ejecutarlo con las instrucciones que aparecen a continuación. Si no aparecen errores, el software es compatible con nuestros nuevos certificados. De lo contrario, tendrá que actualizar los paquetes de certificados. Para otros lenguajes, deberá escribir una prueba que realice un HTTPS GET a https://www.amazonsha256.com y validar que el protocolo TLS sea exitoso.
Descargue aquí el archivo zip que contiene los scripts de prueba.
Java:
Después de descargar el archivo zip y extraer el script de Java, ejecútelo mediante la ejecución de:
$ javac ShaTest.java
$ java ShaTest
Ruby:
Después de descargar el archivo zip y extraer el script de Ruby, ejecútelo mediante la ejecución de:
$ ruby shaTest.rb
PHP:
Después de descargar el archivo zip y extraer el script de PHP, descargue la última versión de phar: https://github.com/aws/aws-sdk-php/releases/download/2.8.1/aws.pha y guárdela en el mismo directorio que shaTest.php
Ejecute el script de PHP mediante la ejecución de:
$ php shaTest.php
Javascript:
Después de descargar el archivo zip y extraer el script, ejecútelo mediante la ejecución de:
$ node shaTest.js
Python:
Después de descargar el archivo zip y extraer el script de Python, ejecútelo mediante la ejecución de:
$ python shaTest.py
.NET:
Los clientes de .NET en Windows 2003 o posterior no se ven afectados siempre que se instalen las últimas actualizaciones de Windows Update.