初始发布日期:2021/04/26 10:20 AM PDT
2021 年 4 月 13 日,AWS 发现了一个边缘情况,该情况影响了一些 Application Load Balancer (ALB) 针对 TLS/SSL 会话票证加密来处理密钥转置的方式。该边缘情况最早是在 2020 年 9 月出现的,导致一小部分 ALB 流量间歇性地使用未初始化的会话票证加密密钥。该边缘情况主要是在活动的安静期被触发。流量变化很大的 ALB,如每天的高峰和低谷,很少会触发该边缘情况。我们在发现该边缘情况后的 8 小时内开始实施缓解措施,并在 2021 年 4 月 16 日之前完成。该问题已经彻底解决。
TLS/SSL 是为 HTTPS 连接到 ALB 提供传输加密的协议。会话票证用于恢复 TLS/SSL 会话,并包含用于连接加密的参数的加密副本。会话票证主要在客户端为网络浏览器时被使用。受该边缘情况影响的连接已被加密,无任何表明问题的外在迹象。但是,从理论上讲,对于该边缘情况所掌握的知识可以用来解密受影响的会话票证。在极少数情况下,如果一个受影响的连接被发现,那么受影响的会话票证中所包含的参数可以被用来解密连接。
AWS 网络当前包含针对此类问题的深度防御。因此,AWS 数据中心、可用区、区域、Local Zones 和 Outposts 之间的 ALB 流量受到 AWS 网络加密的完全保护。AWS 网络和使用 Amazon VPN 或 Amazon Direct Connect MACSEC 服务的客户端之间的 ALB 流量也得到了充分保护。AWS Network Load Balancers (NLB)、Classic Load Balancers (CLB) 以及其他 Amazon Web Services 不受该问题的影响。
AWS 非常感谢德国帕德博恩大学和波鸿鲁尔大学的 Simon Nachtigall、Sven Hebrok、Marcel Maehren、Robert Merget 和 Juraj Somorovsky 报告了此问题。