09.03.2016, 2:10 (тихоокеанское время). Обновление

 

Сроки выхода SHA-1 прошли, и мы вывели из эксплуатации этот тестовый адрес https://www.amazonsha256.com. При необходимости пользователи могут выполнять проверку с использованием адресов SHA-256, перейдя по любому нашему адресу, например https://aws.amazon.com.

 

---------------------------------------------------

 

 

12.11.2015, 6:10 (тихоокеанское время). Обновление

 

С 15 декабря 2015 г. Amazon CloudFront не будет предоставлять SHA-1 в качестве сертификата SSL по умолчанию. Сертификат SHA-1, используемый по умолчанию, будет заменен сертификатом на базе SHA-256 для обеспечения высокого уровня безопасности и совместимости браузеров. Это изменение будет глобально распространено на всех периферийных местоположениях в течение приблизительно одной недели.

 

 

Подробнее:

1. https://aws.amazon.com/security/security-bulletins/aws-to-switch-to-sha256-hash-algorithm-for-ssl-certificates/

2. https://forums.aws.amazon.com/ann.jspa?annID=3360 (Для доступа к сообщению на форуме нужен аккаунт AWS).

 

 

---------------------------------------------------

 

 

11.09.2015, 8:15 (тихоокеанское стандартное время). Обновление

 

До конца 2015 года Amazon CloudFront будет предоставлять сертификат SHA-1 в качестве варианта SSL по умолчанию. Клиенты, которые хотят использовать сертификат SHA-256, могут взять собственный сертификат и выбрать вариант пользовательского SSL.

 

---------------------------------------------------

 

29.06.2015, 9:00 (тихоокеанское стандартное время)

Команда по обеспечению безопасности AWS хотела оповестить клиентов о ходе выполнения проекта обновления SHA-256, чтобы пользователи смогли подключаться к AWS.

 

Команды сервиса AWS много трудились, чтобы прекратить использование SHA-1 как алгоритма хэширования и перейти на новые сертификаты SHA-256. Они планируют закончить свою работу к 30 сентября 2015 г. Но некоторые сервисные команды уже начали развертывать изменения, и им нужны обновленные сертификаты на стороне клиента. Для пользователей это означает, что когда команда сервиса AWS завершит миграцию на новые сертификаты на стороне сервиса, определенные (старые) клиенты не смогут подключаться к сервису до тех пор, пока пользователь не обновит пакет CA на стороне клиента. Поэтому мы настоятельно рекомендуем пользователям, не проверившим совместимость, сделать это как можно скорее, перейдя по тестовому адресу, который мы настроили: https://www.amazonsha256.com. Если ваш браузер поддерживает SHA-256, должно отобразиться сообщение о том, что согласование выполнено успешно. Если оно не выполнено, вам необходимо обновить пакет сертификатов в клиенте.

 

Обратите внимание: некоторым клиентам также понадобится обновить пакеты сертификатов на прокси-серверах, если в архитектуре сети используются промежуточные устройства для проксирования запросов в Интернете.

 

При использовании программных средств для доступа к AWS вы можете скачать ZIP-файл с тестовыми скриптами для поддерживаемых языков и выполнить его в соответствии с инструкциями, опубликованными в исходном бюллетене по безопасности с описанием обновления SHA-256.