Fecha de la publicación inicial: 26/04/2021 10:20 AM PDT
El 13 de abril de 2021, AWS conoció un caso de borde que afectaba a la forma en que algunos balanceadores de carga de aplicaciones (ALB) gestionaban la rotación de claves para el cifrado de tickets de sesión TLS/SSL. Este caso de borde se presentó en septiembre de 2020 y ocasionó que un pequeño porcentaje del tráfico de los balanceadores de carga de aplicaciones utilizara intermitentemente una clave de cifrado de ticket de sesión no inicializada. El caso de borde se desencadenó principalmente durante periodos de actividad tranquila. Los balanceadores de carga de aplicaciones con una alta variación de tráfico, como picos y caídas diarias, rara vez desencadenaron el caso de borde. El caso de borde se comenzó a mitigar dentro de las 8 horas posteriores al descubrimiento y se completó el 16 de abril de 2021. Este problema se ha resuelto por completo.
TLS/SSL es el protocolo que proporciona cifrado en tránsito para las conexiones HTTPS a los balanceadores de carga de aplicaciones. Los tickets de sesión se utilizan para reanudar las sesiones TLS/SSL y contienen una copia cifrada de los parámetros utilizados para cifrar la conexión. Los tickets de sesión se utilizan principalmente cuando el cliente es un navegador web. Las conexiones afectadas por el problema de los casos de borde estaban cifradas y no había indicios externos de que hubiera algún problema. Sin embargo, el conocimiento del problema de los casos de borde en teoría se podría utilizar para descifrar los tickets de sesión afectados. En el caso muy improbable de que se observara una conexión afectada, los parámetros contenidos en un ticket de sesión afectado se podrían utilizar para descifrar la conexión.
La red de AWS incluye defensas profundas contra este tipo de problemas. Por ello, el tráfico de balanceadores de carga de aplicaciones entre los centros de datos de AWS, las zonas de disponibilidad, las regiones, las zonas locales y los Outposts se mantuvo completamente protegido por el cifrado de la red de AWS. El tráfico de los balanceadores de carga de aplicaciones entre las redes de AWS y las instalaciones de los clientes mediante los servicios de Amazon VPN o Amazon Direct Connect MACSEC también estaba totalmente protegido. Los balanceadores de carga de red (NLB) de AWS, los balanceadores de carga clásicos (CLB) y otros servicios de Amazon Web Services no se vieron afectados por este problema.
AWS agradece a Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget y Juraj Somorovsky, de la Universidad de Paderborn y de la Universidad del Ruhr de Bochum (Alemania), por haber informado sobre este problema.