Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Problemi noti per OpenSSL Dynamic Engine per AWS CloudHSM
<a name="ki-openssl-sdk"></a>

Questi sono i problemi noti di OpenSSL Dynamic Engine for. AWS CloudHSM

**Topics**
+ [Problema: non è possibile installare AWS CloudHSM OpenSSL Dynamic Engine su RHEL 6 e Cent OS6](#ki-openssl-1)
+ [Problema: per impostazione predefinita, è supportato solo l'offload RSA sull'HSM](#ki-openssl-2)
+ [Problema: la crittografia e la decrittografia RSA con riempimento OAEP tramite una chiave nell'HSM non sono supportate](#ki-openssl-3)
+ [Problema: viene eseguito sull'HSM solo l'offload della generazione di chiavi private delle chiavi RSA ed ECC](#ki-openssl-4)
+ [Problema: non è possibile installare OpenSSL Dynamic Engine per Client SDK 3 su RHEL 8, CentOS 8 o Ubuntu 18.04 LTS](#ki-openssl-5)
+ [Problema: deprecazione SHA-1 Sign and Verify su RHEL 9 (9.2\+)](#ki-openssl-6)
+ [Problema: AWS CloudHSM OpenSSL Dynamic Engine non è compatibile con il provider FIPS per OpenSSL v3.x](#ki-openssl-7)
+ [Problema: l' SSL/TLS offload non riesce con le suite di crittografia ECDSA in TLS 1.0 e TLS 1.1 a partire da SDK 5.16](#ki-openssl-8)

## Problema: non è possibile installare AWS CloudHSM OpenSSL Dynamic Engine su RHEL 6 e Cent OS6
<a name="ki-openssl-1"></a><a name="openssl-default-version"></a>
+ **Impatto: **OpenSSL Dynamic Engine [supporta OpenSSL 1.0.2 [f\+]](client-supported-platforms.md). Per impostazione predefinita, RHEL 6 e CentOS 6 vengono forniti con OpenSSL 1.0.1.
+ **Soluzione alternativa: ** aggiornare la libreria OpenSSL su RHEL 6 e CentOS 6 alla versione 1.0.2 [f\+].

## Problema: per impostazione predefinita, è supportato solo l'offload RSA sull'HSM
<a name="ki-openssl-2"></a>
+ **Impact: (Impatto) **per ottimizzare le prestazioni, l'SDK non è configurato per l'offload di funzioni aggiuntive come la generazione di numeri casuale o le operazioni EC-DH.
+ **Workaround: (Soluzione) **contattarci attraverso l'apertura di un caso di supporto se si necessita dell'offload di operazioni aggiuntive.
+ **Resolution status: (Stato di risoluzione) **stiamo aggiungendo il supporto all'SDK per configurare le opzioni di offload tramite un file di configurazione. Non appena disponibile, l'aggiornamento sarà annunciato nella pagina della cronologia delle versioni.

## Problema: la crittografia e la decrittografia RSA con riempimento OAEP tramite una chiave nell'HSM non sono supportate
<a name="ki-openssl-3"></a>
+ **Impatto:** qualsiasi chiamata alla crittografia e alla decrittografia RSA con padding OAEP non riesce e genera un errore. divide-by-zero Questo avviene perché il motore dinamico OpenSSL chiama l'operazione a livello locale utilizzando il falso file PEM anziché eseguire l'offload dell'operazione sull'HSM. 
+ **Workaround: (Soluzione) ** è possibile eseguire questa procedura utilizzando [Libreria PKCS \#11 per AWS CloudHSM Client SDK 5](pkcs11-library.md) o [Provider JCE per AWS CloudHSM Client SDK 5](java-library.md). 
+ **Resolution status: (Stato di risoluzione) **stiamo aggiungendo il supporto all'SDK per eseguire correttamente l'offload di questa operazione. Non appena disponibile, l'aggiornamento sarà annunciato nella pagina della cronologia delle versioni. 

## Problema: viene eseguito sull'HSM solo l'offload della generazione di chiavi private delle chiavi RSA ed ECC
<a name="ki-openssl-4"></a>

Per qualsiasi altro tipo di chiave, il motore AWS CloudHSM OpenSSL non viene utilizzato per l'elaborazione delle chiamate. Viene invece utilizzato il motore OpenSSL locale. Questo genera una chiave a livello locale nel software.
+ **Impact: (Impatto) **poiché il failover è silenzioso, non vi sono indicazioni della mancata ricezione di una chiave che era stata generata in modo sicuro sull'HSM. Se la chiave è generata a livello locale da OpenSSL nel software, si visualizzerà una traccia di output contente la stringa `"...........++++++"`. Questa traccia è assente in caso di offload dell'operazione nell'HSM. Poiché la chiave non è generata o archiviata nell'HSM, non sarà disponibile per l'utilizzo futuro.
+ **Workaround: (Soluzione) **utilizzare il motore OpenSSL solo per i tipi di chiavi che supporta. Per tutti gli altri tipi di chiave, utilizzare PKCS \#11 o JCE nelle applicazioni o utilizzare `key_mgmt_util` nella CLI. 

## Problema: non è possibile installare OpenSSL Dynamic Engine per Client SDK 3 su RHEL 8, CentOS 8 o Ubuntu 18.04 LTS
<a name="ki-openssl-5"></a>
+ **Impatto:** per impostazione predefinita, RHEL 8, CentOS 8 e Ubuntu 18.04 LTS sono dotati di una versione di OpenSSL che non è compatibile con OpenSSL Dynamic Engine per Client SDK 3.
+ **Soluzione alternativa:** utilizza una piattaforma Linux che fornisca supporto per OpenSSL Dynamic Engine. Per ulteriori informazioni sulle piattaforme supportate, consulta la pagina relativa alle [piattaforme supportate](client-supported-platforms.md). 
+ **Stato della risoluzione:** AWS CloudHSM supporta queste piattaforme con OpenSSL Dynamic Engine for Client SDK 5. Per ulteriori informazioni, consulta le pagine relative alle [piattaforme supportate](client-supported-platforms.md) e a [OpenSSL Dynamic Engine](openssl-library.md). 

## Problema: deprecazione SHA-1 Sign and Verify su RHEL 9 (9.2\+)
<a name="ki-openssl-6"></a>
+ **Impatto:** l'utilizzo del digest dei messaggi SHA-1 per scopi crittografici è stato dichiarato obsoleto in RHEL 9 (9.2\+). Di conseguenza, le operazioni di firma e verifica con SHA-1 utilizzando OpenSSL Dynamic Engine avranno esito negativo.
+ **Soluzione alternativa:** [se lo scenario richiede l'uso di SHA-1 per firme crittografiche signing/verifying esistenti o di terze parti, consulta le note di rilascio di [Enhancing RHEL Security: Understanding SHA-1 su RHEL 9 (9.2\+) e RHEL 9 (9.2\+](https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9)) per ulteriori dettagli.](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview)

## Problema: AWS CloudHSM OpenSSL Dynamic Engine non è compatibile con il provider FIPS per OpenSSL v3.x
<a name="ki-openssl-7"></a>
+ **Impatto:** riceverai un errore se tenti di utilizzare AWS CloudHSM OpenSSL Dynamic Engine quando il provider FIPS è abilitato per le versioni OpenSSL 3.x.
+ **Soluzione alternativa:** per utilizzare AWS CloudHSM OpenSSL Dynamic Engine con le versioni 3.x di OpenSSL, assicurati che il provider «predefinito» sia configurato. Scopri di più sul provider predefinito sul sito web di [OpenSSL](https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-default.html).

## Problema: l' SSL/TLS offload non riesce con le suite di crittografia ECDSA in TLS 1.0 e TLS 1.1 a partire da SDK 5.16
<a name="ki-openssl-8"></a>
+ **Impatto:** [i tentativi di connessione con TLS 1.0 o TLS 1.1 falliscono perché queste versioni utilizzano SHA-1 per la firma, che non soddisfa i requisiti FIPS 186-5.](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 
+ **Soluzione alternativa:** se non riesci ad aggiornare immediatamente le versioni TLS, puoi migrare verso cluster non FIPS, che non applicano il requisito di hash strong. Tuttavia, consigliamo di eseguire l'aggiornamento a TLS 1.2 o TLS 1.3 per mantenere la conformità FIPS e le migliori pratiche di sicurezza. 
+ **Risoluzione:** aggiorna l'implementazione per utilizzare TLS 1.2 o TLS 1.3. L'Internet Engineering Task Force (IETF) ha reso [obsoleti](https://datatracker.ietf.org/doc/rfc8996/) TLS 1.0 e TLS 1.1 a causa di problemi di sicurezza.