2015년 5월 13일 오후 2시(PST) - 업데이트 2015년 9월 29일
CA(인증 기관)와 Google 및 Microsoft 같은 브라우저 제조업체는 SSL/TLS 인증서를 서명하는 데 사용되는 해싱 알고리즘으로서 SHA1을 더 이상 지원하지 않습니다(자세한 내용은 CA/브라우저 포럼 게시물 참조). 이 때문에 AWS도 2015년 9월 30일부로 SSL/TLS 인증서의 디지털 서명에 대한 SHA1 사용을 중지하고 SSL/TLS용 SHA256 해시 알고리즘으로 업그레이드합니다. 따라서 HTTPS(예: AWS 콘솔, 고객 포털 또는 홈페이지)를 통해 AWS 웹 페이지에 액세스하거나, 브라우저를 통해서든 프로그래밍 방식으로든 AWS API 엔드포인트에 액세스하는 고객은 클라이언트 시스템에서 최신 인증서 번들을 사용하고 있는지 확인해야 합니다.
클라이언트 브라우저 업데이트
브라우저 업데이트만으로 브라우저의 인증서 번들을 업데이트할 수 있습니다. 가장 일반적인 브라우저에 대한 지침은 Chrome, FireFox, Safari 등 브라우저의 웹 사이트에서 확인할 수 있습니다. Internet Explorer용 인증서 번들은 Windows OS에서 관리되므로 OS도 업데이트해야 합니다.
공통 브라우저 목록과 SHA2를 지원하는 버전(SHA256을 포함하는 해시 함수의 제품군)은 여기에서 확인할 수 있습니다.
많은 고객이 이미 브라우저를 업데이트했으며, 이 변경 사항을 적용한 후에도 AWS 끝점에 액세스하는 데 아무 문제가 없습니다. 브라우저를 업데이트하지 않은 고객은 가능한 한 빨리 브라우저를 업데이트해야 합니다. 최신 인증서가 있는 브라우저를 사용 중인지 확실하지 않은 고객은 AWS가 설정한 테스트 엔드포인트(https://www.amazonsha256.com)에서 확인할 수 있습니다. 브라우저에서 SHA256을 지원하는 경우 협상에 성공했다는 메시지를 볼 수 있습니다.
프로그래밍 언어 테스트
프로그래밍 방식으로 AWS에 액세스하는 경우 지원되는 언어에 대한 테스트 스크립트를 포함하는 zip 파일을 다운로드하고, 아래의 지침에 따라 이를 실행할 수 있습니다. 오류가 표시되지 않으면 소프트웨어가 새 인증서와 호환됩니다. 그렇지 않으면 인증서 번들을 업데이트해야 합니다. 다른 언어의 경우 https://www.amazonsha256.com에 대해 HTTPS GET를 수행하고 TLS 핸드셰이크가 성공하는지 확인하는 테스트를 작성해야 합니다.
여기에서 테스트 스크립트가 포함된 zip 파일을 다운로드합니다.
Java:
zip 파일을 다운로드하고 Java 스크립트를 추출한 후 다음 명령을 실행하여 스크립트를 실행합니다.
$ javac ShaTest.java
$ java ShaTest
Ruby:
zip 파일을 다운로드하고 Ruby 스크립트를 추출한 후 다음 명령을 실행하여 스크립트를 실행합니다.
$ ruby shaTest.rb
PHP:
zip 파일을 다운로드하고 PHP 스크립트를 추출한 후 최신 phar 릴리스를 다운로드하여(https://github.com/aws/aws-sdk-php/releases/download/2.8.1/aws.phar) shaTest.php와 같은 디렉터리에 저장합니다.
다음 명령을 실행하여 PHP 스크립트를 실행합니다.
$ php shaTest.php
Javascript:
zip 파일을 다운로드하고 스크립트를 추출한 후 다음 명령을 실행하여 스크립트를 실행합니다.
$ node shaTest.js
Python:
zip 파일을 다운로드하고 Python 스크립트를 추출한 후 다음 명령을 실행하여 스크립트를 실행합니다.
$ python shaTest.py
.NET:
Windows 2003 이상을 사용하는 .NET 고객은 Windows Update의 최신 업데이트를 설치하기만 하면 영향을 받지 않습니다.