Date de publication initiale : 26/04/2021 10 h 20 PDT (heure du Pacifique)
Le 13 avril 2021, AWS a pris connaissance d'un cas-limite qui affectait la façon dont certains Application Load Balancer (ALB) géraient la rotation des clés pour le chiffrement des tickets de séance TLS/SSL. Ce cas-limite a été introduit en septembre 2020 et a entraîné l'utilisation intermittente d'une clé de chiffrement de ticket de séance non initialisée par un petit pourcentage du trafic ALB. Ce cas-limite a été déclenché principalement pendant les périodes de faible activité. Les ALB dont le trafic varie fortement, comme les pics et les creux quotidiens, ont rarement déclenché le cas-limite. L'atténuation du cas-limite a commencé dans les 8 heures suivant la découverte et s'est terminée le 16 avril 2021. Ce problème a été complètement résolu.
TLS/SSL est le protocole qui assure le chiffrement en transit des connexions HTTPS aux ALB. Les tickets de séance sont utilisés pour reprendre les séances TLS/SSL et contiennent une copie chiffrée des paramètres utilisés pour chiffrer la connexion. Les tickets de séance sont principalement utilisés lorsque le client est un navigateur web. Les connexions qui ont été affectées par le problème du cas-limite étaient chiffrées et il n'y avait aucun signe extérieur de problème. Cependant, la connaissance du problème de cas-limite pourrait théoriquement être utilisée pour déchiffrer les tickets de séance affectés. Dans le cas très improbable où une connexion affectée serait observée, les paramètres contenus dans un ticket de séance affecté pourraient être utilisés pour déchiffrer la connexion.
Le réseau AWS comprend des défenses en profondeur existantes contre ce type de problème. Par conséquent, le trafic ALB entre les centres de données AWS, les zones de disponibilité, les régions, les zones locales et les Outposts était entièrement protégé par le chiffrement du réseau AWS. Le trafic ALB entre les réseaux AWS et les locaux des clients utilisant les services Amazon VPN ou Amazon Direct Connect MACSEC était également entièrement protégé. AWS Network Load Balancer (NLB), Classic Load Balancer (CLB) et les autres Amazon Web Services n'ont pas été affectés par ce problème.
AWS tient à remercier Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget et Juraj Somorovsky de l'Université de Paderborn et de l'Université de la Ruhr à Bochum, en Allemagne, pour avoir signalé ce problème.