Test de votre application ou service Test de votre navigateur client Mise à jour de votre client d'application logicielle Mise à jour de votre navigateur client Mise à jour manuelle de votre solution groupée de certificats

Résolution des problèmes d'établissement de connexion SSL/TLS

Amazon DynamoDB est en train de déplacer nos points de terminaison vers des certificats sécurisés signés par l'autorité de certification Amazon Trust Services (ATS) au lieu d'une autorité de certification tierce. En décembre 2017, nous avons lancé la région EU-WEST-3 (Paris) avec les certificats sécurisés émis par Amazon Trust Services. Toutes les nouvelles régions lancées après décembre 2017 ont des points de terminaison avec les certificats émis par Amazon Trust Services. Ce guide explique comment valider une connexion SSL/TLS et résoudre des problèmes de connexion SSL/TLS.

Test de votre application ou service

La plupart des AWS SDK et interfaces de ligne de commande (CLI) prennent en charge l'autorité de certification Amazon Trust Services. Si vous utilisez une version du AWS SDK pour Python ou de la CLI publiée avant le 29 octobre 2013, vous devez effectuer une mise à niveau. Les SDK et CLI .NET, Java JavaScript, PHP, Go et C++ ne regroupent aucun certificat, leurs certificats proviennent du système d'exploitation sous-jacent. Le Kit SDK Ruby inclut au moins une des autorités de certification requises depuis le 10 juin 2015. Avant cette date, le kit SDK Ruby V2 ne n'incluait pas de certificat. Si vous utilisez une version non prise en charge, personnalisée ou modifiée du AWS SDK, ou si vous utilisez un trust store personnalisé, il se peut que vous ne disposiez pas du support nécessaire pour Amazon Trust Services Certificate Authority.

Pour valider l'accès aux points de terminaison DynamoDB, vous devez développer un test qui accède à l'API DynamoDB ou à l'API DynamoDB Streams dans la région EU-WEST-3, et valider la réussite de la liaison TLS. Les points de terminaison spécifiques auxquels vous allez devoir accéder dans le cadre d'un tel test sont les suivants :

DynamoDB : https://dynamodb.eu-west-3.amazonaws.com
DynamoDB Streams : https://streams.dynamodb.eu-west-3.amazonaws.com

Si votre application ne prend pas en charge l'autorité de certification Amazon Trust Services, vous constaterez l'un des échecs suivants :

Erreurs de négociation SSL/TLS
Long délai avant que votre logiciel reçoive une erreur indiquant un échec de négociation SSL/TLS. Le délai dépend de la politique de nouvelle tentative et de la configuration du délai d'expiration de votre client.

Test de votre navigateur client

Pour vérifier que votre navigateur peut se connecter à Amazon DynamoDB, ouvrez l'URL suivante : https://dynamodb.eu-west-3.amazonaws.com. Si le test réussit, vous voyez un message comme celui-ci :


healthy: dynamodb.eu-west-3.amazonaws.com

Si le test échoue, vous voyez une erreur similaire à celle-ci : https://untrusted-root.badssl.com/.

Mise à jour de votre client d'application logicielle

Les applications accédant aux points de terminaison d'API DynamoDB ou DynamoDB Streams, via des navigateurs ou par programmation, doivent mettre à jour la liste des autorités de certification (CA) approuvées sur les machines clientes si celles-ci ne prennent pas encore en charge les CA suivantes :

Amazon Root CA 1
Starfield Services Root Certificate Authority – G2
Starfield Class 2 Certification Authority

Si les clients font déjà confiance à l'une des trois CA ci-dessus, ils feront confiance aux certificats que DynamoDB utilise, et aucune action n'est requise. Toutefois, si vos clients ne font pas encore confiance à l'une des CA ci-dessus, les connexions HTTPS aux API DynamoDB ou DynamoDB Streams échouent. Pour plus d'informations, veuillez consulter ce billet de blog : https://aws.amazon.com/blogs/security/ how-to-prepare-for - aws-move-to-its -own-certificate-authority/.

Mise à jour de votre navigateur client

Vous pouvez mettre à jour la solution groupée de certificats dans votre navigateur simplement en mettant à jour votre navigateur. Vous pouvez trouver des instructions pour les navigateurs les plus courants sur les sites web des navigateurs :

Chrome : https://support.google.com/chrome/answer/95414?hl=en
Firefox : https://support.mozilla.org/en-US/kb/ update-firefox-latest-version
Safari : https://support.apple.com/en-us/HT204416
Internet Explorer : https://support.microsoft.com/en-us/help/17295/ windows-internet-explorer-which -version #ie =autre

Mise à jour manuelle de votre solution groupée de certificats

Si vous ne pouvez pas accéder à l'API DynamoDB ou DynamoDB Streams, vous devez mettre à jour votre solution groupée de certificats. Pour ce faire, vous devez importer au moins une des CA requises. Vous trouverez celles-ci à l'adresse https://www.amazontrust.com/repository/.

Les systèmes d'exploitation et les langages de programmation suivants prennent en charge les certificats Amazon Trust Services :

Versions de Microsoft Windows sur lesquelles des mises à jour de janvier 2005 ou ultérieures sont installées, Windows Vista, Windows 7, Windows Server 2008 et versions ultérieures.
macOS X 10.4 avec Java pour macOS X 10.4 version 5, macOS X 10.5 et versions ultérieures.
Red Hat Enterprise Linux 5 (mars 2007), Linux 6 et Linux 7, et CentOS 5, CentOS 6 et CentOS 7
Ubuntu 8.10
Debian 5.0
Amazon Linux (toutes versions)
Java 1.4.2_12, Java 5 mise à jour 2 et toutes les versions plus récentes, dont Java 6, Java 7 et Java 8

Si vous ne parvenez toujours pas à vous connecter, consultez la documentation de votre logiciel, le fournisseur du système d'exploitation ou contactez le AWS Support https://aws.amazon.com/support pour obtenir de l'aide.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Annexe

Tableaux et données de l'exemple