13/05/2015 - 14:00 PST (CET - 9 ore) - Aggiornato il 29/09/2015
Le autorità di certificazione (CA, Certificate Authorities) e i produttori di browser come Google e Microsoft stanno ritirando il supporto per SHA1 come algoritmo di hash adoperato per firmare certificati SSL/TLS (per maggiori informazioni leggi il post sul forum CA/Browser). Pertanto AWS ritirerà l’uso di SHA1 per l’apposizione di firme digitali in certificati SSL/TLS entro il 30 settembre 2015 ed effettuerà un aggiornamento all’algoritmo di hash SHA256 per SSL/TLS. Quindi, i clienti che accedono alle pagine web AWS tramite HTTPS (per esempio, dalla console AWS, dal portale del cliente o dalla home page) o che accedono agli endpoint dell’API AWS, sia tramite browser o a livello di codice, dovranno accertarsi di utilizzare i pacchetti di certificati più recenti sui computer client.
Aggiornamento del browser client
È possibile aggiornare il pacchetto di certificati nel browser semplicemente aggiornandolo. Le istruzioni relative ai browser più diffusi, Chrome, FireFox e Safari, sono reperibili sui rispettivi siti web. I pacchetti di certificati per Internet Explorersono gestiti dal sistema operativo Windows, quindi accertati di aggiornare anche il sistema operativo.
Puoi vedere qui un elenco dei browser più diffusi e le versioni che supportano SHA2 (la famiglia di funzioni hash che include SHA256).
Molti clienti hanno già aggiornato i browser e non dovrebbero avere alcun problema ad accedere agli endpoint AWS una volta eseguita questa modifica. I clienti che non hanno aggiornato i browser dovrebbero farlo al più presto possibile. I clienti che non sono sicuri se stanno usando un browser con i certificati più recenti possono navigare a un endpoint di verifica impostato da AWS: https://www.amazonsha256.com. Se il browser supporta SHA-256, dovresti visualizzare un messaggio che indica la riuscita della negoziazione.
Verifica del linguaggio di programmazione
Se accedi ad AWS attraverso codice di programmazione, puoi scaricare un file zip contenente gli script di prova per i linguaggi supportati ed eseguire lo script adatto seguendo le istruzioni riportate di seguito. Se non viene visualizzato alcun errore, il software è compatibile con i nostri nuovi certificati. Altrimenti, devi aggiornare i pacchetti di certificati. Per altri linguaggi, dovrai creare un file di prova che esegue un comando HTTPS GET a https://www.amazonsha256.com e validare che l’handshake TLS riesca.
Scarica da qui il file zip contenente gli script di prova.
Java:
una volta scaricato il file zip ed estratto lo script Java, eseguilo con i comandi:
$ javac ShaTest.java
$ java ShaTest
Ruby:
una volta scaricato il file zip ed estratto lo script Ruby, eseguilo con il comando:
$ ruby shaTest.rb
PHP:
una volta scaricato il file zip ed estratto lo script PHP, scarica l’ultima versione phar: https://github.com/aws/aws-sdk-php/releases/download/2.8.1/aws.phar e salvala nella stessa directory in cui si trova shaTest.php
Esegui lo script PHP con il comando:
$ php shaTest.php
Javascript:
una volta scaricato il file zip ed estratto lo script, eseguilo con il comando:
$ node shaTest.js
Python:
una volta scaricato il file zip ed estratto lo script Python, eseguilo con il comando:
$ python shaTest.py
.NET:
i clienti .NET su Windows 2003 o versione successiva non sono interessati dal problema purché siano stati installati gli ultimi aggiornamenti da Windows Update.