Probar su aplicación o servicio Probar el navegador del cliente Actualización del cliente de aplicación de software Actualización del navegador del cliente Actualización manual su paquete de certificados

Solución de problemas de establecimiento de conexiones SSL/TLS con DynamoDB

Amazon DynamoDB está moviendo nuestros puntos de enlace a certificados seguros firmados por la entidad de certificación de Amazon Trust Services (ATS) en lugar de una entidad de certificación de terceros. En diciembre de 2017, lanzamos la región EU-WEST-3 (París) con los certificados seguros emitidos por Amazon Trust Services. Todas las nuevas regiones lanzadas después de diciembre de 2017 tienen puntos de enlace con los certificados emitidos por Amazon Trust Services. Esta guía le muestra cómo validar y solucionar los problemas de conexión SSL/TLS.

Probar su aplicación o servicio

La mayoría de los SDK de AWS y las interfaces de línea de comandos (CLI) admiten la entidad de certificación de Amazon Trust Services. Si está utilizando una versión de SDK de AWS para Python o CLI publicado antes del 29 de octubre de 2013, debe actualizarlo. Los SDK y CLI de .NET, Java, PHP, Go, JavaScript y C++ no agrupan ningún certificado, sus certificados provienen del sistema operativo subyacente. El SDK de Ruby ha incluido al menos una de las entidades de certificación requeridas desde el 10 de junio de 2015. Antes de esa fecha, el SDK de Ruby V2 no agrupaba certificados. Si utiliza una versión no compatible, personalizada o modificada de los SDK de AWS, o si utiliza un almacén de confianza personalizado, es posible que no cuente con el soporte necesario para la entidad de certificación de Amazon Trust Services.

Para validar el acceso a los puntos de enlace de DynamoDB, deberá desarrollar una prueba que acceda a la API de DynamoDB o a la API de DynamoDB Streams en la región EU-WEST-3 y validar que el establecimiento de comunicación TLS tenga éxito. Los puntos de enlace específicos a los que deberá acceder en dicha prueba son:

DynamoDB: https://dynamodb.eu-west-3.amazonaws.com
DynamoDB Streams: https://streams.dynamodb.eu-west-3.amazonaws.com

Si su aplicación no es compatible con la entidad de certificación de Amazon Trust Services, verá uno de los siguientes errores:

Errores de negociación SSL/TLS
Un largo retraso antes de que el software reciba un error que indica la falla de negociación SSL/TLS. El tiempo de retraso depende de la estrategia de reintento y la configuración del tiempo de espera de su cliente.

Probar el navegador del cliente

Para comprobar que su navegador puede conectarse a Amazon DynamoDB, abra la siguiente dirección URL: https://dynamodb.eu-west-3.amazonaws.com. Si la prueba se realiza correctamente, aparecerá un mensaje como este:


healthy: dynamodb.eu-west-3.amazonaws.com

Si la prueba no tiene éxito, mostrará un error similar al siguiente: https://untrusted-root.badssl.com/.

Actualización del cliente de aplicación de software

Las aplicaciones que obtengan acceso a los puntos de enlace de la API de DynamoDB o DynamoDB Streams (ya sea a través de un navegador o mediante programación) deberán actualizar la lista de entidades de certificación de confianza en los equipos del cliente si aún no admiten alguna de las siguientes entidades de certificación:

Amazon Root CA 1
Starfield Services Root Certificate Authority - G2
Starfield Class 2 Certification Authority

Si los clientes ya confían en CUALQUIERA de las tres entidades de certificaciones anteriores, estas confiarán en los certificados utilizados por DynamoDB y no se requiere ninguna acción. Sin embargo, si sus clientes no confían en ninguna de las entidades de certificación anteriores, las conexiones HTTPS a las API de DynamoDB o DynamoDB Streams van a fallar. Para obtener más información, visite esta entrada al blog: https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/.

Actualización del navegador del cliente

Puede actualizar el paquete de certificados en su navegador simplemente actualizando su navegador. Las instrucciones para los navegadores más comunes se pueden encontrar en los sitios web de los navegadores:

Chrome: https://support.google.com/chrome/answer/95414?hl=en
Firefox: https://support.mozilla.org/en-US/kb/update-firefox-latest-version
Safari: https://support.apple.com/en-us/HT204416
Internet Explorer: https://support.microsoft.com/en-us/help/17295/windows-internet-explorer-which-version#ie=other

Actualización manual su paquete de certificados

Si no puede acceder a la API de DynamoDB o la API de DynamoDB Streams, entonces deberá actualizar la agrupación de certificados. Para ello, debe importar al menos una de las entidades de certificación requeridas. Puede encontrarlas en https://www.amazontrust.com/repository/.

Los siguientes sistemas operativos y lenguajes de programación admiten certificados de Amazon Trust Services:

Versiones de Microsoft Windows que tienen instaladas actualizaciones de enero de 2005 o posteriores, Windows Vista, Windows 7, Windows Server 2008 y versiones más recientes.
MacOS X 10.4 con Java para MacOS X 10.4 versión 5, MacOS X 10.5 y versiones más recientes.
Red Hat Enterprise Linux 5 (marzo de 2007), Linux 6 y Linux 7 y CentOS 5, CentOS 6 y CentOS 7
Ubuntu 8.10
Debian 5.0
Amazon Linux (todas las versiones)
Java 1.4.2_12, Java 5 actualización 2 y todas las versiones más recientes, incluyendo Java 6, Java 7 y Java 8

Si aún no puede conectarse, consulte la documentación del software, el proveedor del sistema operativo o contacte con AWS Support https://aws.amazon.com/support para obtener más ayuda.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Apéndice

Tablas y datos de ejemplo para usar en DynamoDB