Data di pubblicazione iniziale: 26/04/2021 10:20 AM PDT
Il 13 aprile 2021 AWS ha riscontrato un caso di edge che ha interessato in modo in cui alcuni Application Load Balancers (ALB) hanno gestito la rotazione principale per la crittografia dei ticket delle sessioni TLS/SSL. Questo caso di edge è stato introdotto a settembre 2020 e ha provocato una piccola percentuale di traffico ALB in modo intermittente, utilizzando una chiave di crittografia dei ticket delle sessioni non inizializzate. Il caso di edge è stato avviato innanzitutto durante i periodi di attesa delle attività. Gli ALB con un'elevata variazione di traffico, ad esempio picchi e cali quotidiani, raramente hanno attivato il caso di edge. La migrazione per il caso di edge è iniziata entro 8 ore dalla scoperta ed è stata completata entro il 16 aprile 2021. Il problema è stato completamente risolto.
TLS/SSL è il protocollo che fornisce la crittografia in transito per connessioni HTTPS agli ALB. I ticket delle sessioni sono usati per riprendere le sessioni TLS/SSL e contengono una copia crittografata dei parametri utilizzati per crittografare la connessione. I ticket delle sessioni sono utilizzati principalmente quando il client è un browser Web. Le connessioni che sono state interessate dal problema del caso di edge sono state crittografate e non ci sono stati segnali in uscita di problemi di qualsiasi tipo. Tuttavia, essere a conoscenza del problema del caso di edge potrebbe teoricamente essere usato per decrittografare i ticket delle sessioni interessate. Nel caso molto improbabile dell'osservazione di una connessione interessata, i parametri contenuti nel ticket di una sessione interessata potrebbero essere utilizzati per decrittografare la connessione.
La rete AWS coinvolge le difese avanzate esistenti rispetto a questo tipo di problema. Ne risulta che il traffico ALB tra i data center AWS, le zone di disponibilità, le Regioni, le zone locali e gli Outpost sono stati completamente protetti dalla crittografia di rete di AWS. È stato completamente protetto anche il traffico ALB tra le reti AWS e le sedi dei clienti che utilizzano la VPN di Amazon o i servizi MACSEC di Amazon Direct Connect. AWS Network Load Balancer (NLB), Classic Load Balancer (CLB) e altri servizi Amazon Web Services non sono stati interessati dal problema.
AWS ringrazia Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget e Juraj Somorovsky della Paderborn University e della Ruhr University Bochum in Germania, per aver segnalato il problema.