As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Problemas conhecidos do OpenSSL Dynamic Engine para AWS CloudHSM
<a name="ki-openssl-sdk"></a>

Estes são os problemas conhecidos do OpenSSL Dynamic Engine para AWS CloudHSM.

**Topics**
+ [Problema: você não pode instalar o AWS CloudHSM OpenSSL Dynamic Engine no RHEL 6 e no Cent OS6](#ki-openssl-1)
+ [Problema: por padrão, somente o descarregamento de RSA para o HSM é compatível.](#ki-openssl-2)
+ [Problema: não há suporte para criptografia e descriptografia RSA com preenchimento OAEP usando uma chave no HSM.](#ki-openssl-3)
+ [Problema: somente a geração de chave privada de chaves RSA e ECC é descarregada para o HSM.](#ki-openssl-4)
+ [Problema: você não pode instalar o OpenSSL Dynamic Engine para Client SDK 3 no RHEL 8, CentOS 8 ou Ubuntu 18.04 LTS](#ki-openssl-5)
+ [Problema: descontinuação do uso do SHA-1 Sign and Verify no RHEL 9 (9.2\+)](#ki-openssl-6)
+ [Problema: o AWS CloudHSM OpenSSL Dynamic Engine é incompatível com o provedor FIPS para OpenSSL v3.x](#ki-openssl-7)
+ [Problema: falha no SSL/TLS descarregamento com conjuntos de criptografia ECDSA no TLS 1.0 e no TLS 1.1 a partir do SDK 5.16](#ki-openssl-8)

## Problema: você não pode instalar o AWS CloudHSM OpenSSL Dynamic Engine no RHEL 6 e no Cent OS6
<a name="ki-openssl-1"></a><a name="openssl-default-version"></a>
+ **Impacto: **o OpenSSL Dynamic Engine [oferece suporte apenas para OpenSSL 1.0.2 [f\+]](client-supported-platforms.md). Por padrão, o RHEL 6 e o CentOS 6 são fornecidos com o OpenSSL 1.0.1.
+ **Solução alternativa: ** atualize a biblioteca OpenSSL no RHEL 6 e no CentOS 6 para a versão 1.0.2 [f\+].

## Problema: por padrão, somente o descarregamento de RSA para o HSM é compatível.
<a name="ki-openssl-2"></a>
+ **Impacto:** para maximizar o desempenho, o SDK não está configurado para descarregar funções adicionais, como a geração aleatória de números ou operações de EC-DH.
+ **Solução alternativa:** entre em contato conosco por meio de um caso de suporte se precisar descarregar operações adicionais.
+ **Status da resolução:** estamos adicionando suporte ao SDK para configurar as opções de descarregamento por meio de um arquivo de configuração. A atualização será anunciada na página de histórico de versões, quando estiver disponível.

## Problema: não há suporte para criptografia e descriptografia RSA com preenchimento OAEP usando uma chave no HSM.
<a name="ki-openssl-3"></a>
+ **Impacto:** qualquer chamada para criptografia e decodificação RSA com preenchimento OAEP falha com um erro. divide-by-zero Isso ocorre porque o mecanismo dinâmico OpenSSL chama a operação localmente usando o arquivo PEM falso em vez de descarregar a operação para o HSM. 
+ **Solução alternativa: **realize esse procedimento usando a [Biblioteca PKCS \#11 para AWS CloudHSM Client SDK 5](pkcs11-library.md) ou a [Provedor de JCE para AWS CloudHSM Client SDK 5](java-library.md). 
+ **Status da resolução: **estamos adicionando suporte ao SDK para descarregar corretamente essa operação. A atualização será anunciada na página de histórico de versões, quando estiver disponível. 

## Problema: somente a geração de chave privada de chaves RSA e ECC é descarregada para o HSM.
<a name="ki-openssl-4"></a>

Para qualquer outro tipo de chave, o mecanismo AWS CloudHSM OpenSSL não é usado para processamento de chamadas. Em vez disso, o mecanismo OpenSSL local será usado. Isso gera uma chave localmente no software.
+ **Impacto: **como o failover é silencioso, não há indicação de que você não recebeu uma chave gerada com segurança no HSM. Você verá um rastreamento de saída que contém a string `"...........++++++"` se a chave for gerada localmente pelo OpenSSL no software. Esse rastreamento está ausente quando a operação é descarregada para o HSM. Como a chave não é gerada ou armazenada no HSM, ela não estará disponível para uso futuro.
+ **Solução alternativa: **use o mecanismo OpenSSL somente para tipos de chave compatíveis. Para todos os outros tipos de chave, use PKCS\#11 ou JCE nas aplicações ou use `key_mgmt_util` na CLI. 

## Problema: você não pode instalar o OpenSSL Dynamic Engine para Client SDK 3 no RHEL 8, CentOS 8 ou Ubuntu 18.04 LTS
<a name="ki-openssl-5"></a>
+ **Impacto:** por padrão, o RHEL 8, o CentOS 8 e o Ubuntu 18.04 LTS vêm com uma versão do OpenSSL que não é compatível com o OpenSSL Dynamic Engine para Client SDK 3.
+ **Solução alternativa:** use uma plataforma Linux que ofereça suporte ao OpenSSL Dynamic Engine. Para obter mais informações sobre as plataformas compatíveis, consulte [Plataformas compatíveis](client-supported-platforms.md). 
+ **Status da resolução:** AWS CloudHSM suporta essas plataformas com o OpenSSL Dynamic Engine for Client SDK 5. Para obter mais informações, consulte [Plataformas compatíveis](openssl-library.md) e [OpenSSL Dynamic Engine](client-supported-platforms.md). 

## Problema: descontinuação do uso do SHA-1 Sign and Verify no RHEL 9 (9.2\+)
<a name="ki-openssl-6"></a>
+ **Impacto: **o uso do resumo de mensagens SHA-1 para fins criptográficos foi descontinuado no RHEL 9 (9.2\+). Como resultado, as operações de assinatura e verificação com SHA-1 usando o OpenSSL Dynamic Engine falharão.
+ **Solução alternativa:** [se seu cenário exigir o uso de SHA-1 para assinaturas criptográficas signing/verifying existentes ou de terceiros, consulte [Aprimorando a segurança do RHEL: entendendo a depreciação do SHA-1 no RHEL 9 (9.2\+) e no RHEL 9 (9.2\+](https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9)) para obter mais detalhes.](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview)

## Problema: o AWS CloudHSM OpenSSL Dynamic Engine é incompatível com o provedor FIPS para OpenSSL v3.x
<a name="ki-openssl-7"></a>
+ **Impacto:** você receberá uma mensagem de erro se tentar utilizar o AWS CloudHSM OpenSSL Dynamic Engine quando o provedor FIPS estiver habilitado para as versões 3.x do OpenSSL.
+ **Solução alternativa:** para usar o AWS CloudHSM OpenSSL Dynamic Engine com as versões 3.x do OpenSSL, verifique se o provedor “padrão” está configurado. Leia mais sobre o provedor padrão no [site do OpenSSL](https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-default.html).

## Problema: falha no SSL/TLS descarregamento com conjuntos de criptografia ECDSA no TLS 1.0 e no TLS 1.1 a partir do SDK 5.16
<a name="ki-openssl-8"></a>
+ **Impacto: **as tentativas de conexão usando TLS 1.0 ou TLS 1.1 falham porque essas versões usam SHA-1 para assinatura, o que não atende aos requisitos do [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf). 
+ **Solução alternativa: **se não conseguir atualizar as versões do TLS imediatamente, você poderá migrar para clusters não FIPS, que não impõem o requisito de força de hash. No entanto, recomendamos a atualização para o TLS 1.2 ou TLS 1.3 para manter a conformidade com o FIPS e as melhores práticas de segurança. 
+ **Resolução: **atualize sua implementação para usar o TLS 1.2 ou TLS 1.3. A Internet Engineering Task Force (IETF) [descontinuou](https://datatracker.ietf.org/doc/rfc8996/) o TLS 1.0 e o TLS 1.1 devido a questões de segurança.