Erstes Veröffentlichungsdatum: 26.04.2021 10:20 AM PDT
Am 13. April 2021 wurde AWS auf einen Edge-Case aufmerksam, der Einfluss darauf hatte, wie einige Application Load Balancers (ALB) Key-Rotation für TLS/SSL Sitzungsticket-Verschlüsselung handhabte. Dieser Edge-Case wurde im September 2020 eingeführt und resultierte in kleinen Prozentsätzen an ALB Traffic, der zeitweise einen nicht initialisierten Sitzungsticket-Verschlüsselungsschlüssel verwendete. Der Edge Case wurde vor allem während ruhiger Aktivitätsperioden ausgelöst. ALBs mit hoher Verkehrsvariation, wie tägliche Spitzen und Durchsätze, haben den Edge Case selten ausgelöst. Die Mitigation für den Edge Case begann innerhalb von 8 Stunden nach der Aufdeckung und wurde am 16. April 2021 fertiggestellt. Das Problem ist nun vollständig behoben.
TLS/SSL ist das Protokoll, das die Verschlüsselung im Transit für HTTPS Verbindungen zu ALBs zur Verfügung stellt. Sitzungstickets werden verwendet, um TLS/SSL Sitzungen wieder aufzunehmen und sie enthalten eine verschlüsselte Kopie der Parameter, die für die Verschlüsselung der Verbindung genutzt werden. Sitzungstickets werden vor allem verwendet, wenn der Client ein Webbrowser ist. Verbindungen, die von dem Edge Case Problem beeinflusst wurden, wurden verschlüsselt und es gab keine Anzeichen nach Außen für das Problem. Allerdings kann das Wissen über das Problem theoretisch dazu verwendet werden, die betroffenen Sitzungstickets zu entschlüsseln. In den sehr unwahrscheinlichen Fall, dass eine betroffene Verbindung überwacht wurde, könnten die Parameter eines betroffenen Sitzungstickets verwendet werden, um die Verbindung zu entschlüsseln.
Das AWS-Netzwerk umfasst tiefgreifende Verteidigungssysteme gegen diese Probleme. Daraus resultierte, dass der ALB Verkehr zwischen AWS Datenzentren, Availability Zones, Regionen, lokalen Zonen und Außenposten von der AWS-Netzwerk-Verschlüsselung vollständig geschützt wurde. ALB Verkehr zwischen AWS-Netzwerken und Kundenanlagen, die die Amazon VPN oder Amazon Direct Connect MACSEC Services verwenden waren auch vollständig geschützt. AWS Network Load Balancers (NLBs), Classic Load Balancers (CLBs) und andere Amazon Web Services waren von diesem Problem nicht betroffen.
AWS möchte Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget und Juraj Somorovsky der Universität von Paderborn und der Ruhr Universität Bochum, Deutschland, danken, die dieses Problem angemeldet haben.