Tanggal Publikasi Awal: 26/04/2021 10:20 PDT
Pada 13 April 2021, AWS mengetahui kasus edge yang memengaruhi cara beberapa Application Load Balancer (ALB) menangani rotasi kunci untuk enkripsi tiket sesi TLS/SSL. Kasus edge ini diperkenalkan pada September 2020 dan sesekali menghasilkan persentase kecil lalu lintas ALB menggunakan kunci enkripsi tiket sesi yang tidak diinisialisasi. Kasus edge dipicu terutama selama periode aktivitas yang tenang. ALB dengan variasi lalu lintas yang tinggi, seperti naik turun harian, jarang memicu kasus edge. Mitigasi untuk kasus edge dimulai dalam 8 jam setelah penemuan dan selesai pada 16 April 2021. Masalah ini telah diselesaikan sepenuhnya.
TLS/SSL adalah protokol yang menyediakan enkripsi saat transit untuk koneksi HTTPS ke ALB. Tiket sesi digunakan untuk melanjutkan sesi TLS/SSL dan berisi salinan terenkripsi dari parameter yang digunakan untuk mengenkripsi koneksi. Tiket sesi terutama digunakan saat klien adalah browser web. Koneksi yang dipengaruhi oleh masalah kasus edge dienkripsi dan tidak ada tanda-tanda luar dari masalah apa pun. Namun, pengetahuan tentang masalah kasus edge dapat digunakan secara teoritis untuk mendekripsi tiket sesi yang terpengaruh. Dalam kasus yang sangat tidak mungkin yang mana koneksi terpengaruh diamati, parameter yang terdapat dalam tiket sesi yang terpengaruh dapat digunakan untuk mendekripsi koneksi.
Jaringan AWS meliputi pertahanan yang ada secara mendalam terhadap jenis masalah ini. Akibatnya, lalu lintas ALB antara pusat data AWS, Availability Zone, Wilayah, Local Zones, dan Outpost dilindungi sepenuhnya oleh enkripsi Jaringan AWS. Lalu lintas ALB antara jaringan AWS dan lokasi pelanggan yang menggunakan layanan Amazon VPN atau Amazon Direct Connect MACSEC juga dilindungi sepenuhnya. AWS Network Load Balancer (NLB), Classic Load Balancer (CLB), dan Amazon Web Services lainnya tidak terpengaruh oleh masalah ini.
AWS ingin berterima kasih kepada Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget, dan Juraj Somorovsky dari Paderborn University dan Ruhr University Bochum, Jerman, karena telah melaporkan masalah ini.