初版発行日: 2021 年 4 月 26 日 午前 10 時 20 分 PDT
2021 年 4 月 13 日、AWS では、一部の Application Load Balancer (ALB) が TLS/SSL セッションチケット暗号化のキーローテーションを処理する方法に影響を与えるエッジケースを検出しました。このエッジケースは、2020 年 9 月に導入されたもので、初期化されていないセッションチケット暗号化キーの使用で、ごく小さい割合の ALB トラフィックが断続的に発生しました。エッジケースは、特にアクティビティが少ないタイミングにトリガーされました。1 日を通してトラフィックが最も多いあるいは最も少ないタイミングなどにおけるトラフィック変動が大きい ALB では、エッジケースがトリガーされることはめったにありませんでした。エッジケースの低減対策は、検出から 8 時間以内に開始され、2021 年 4 月 16 日までに完了しました。この問題は完全に解決しました。
TLS/SSL は、ALB への HTTPS 接続の転送中に暗号化を行うプロトコルです。セッションチケットは TLS/SSL セッションを再開するために使用されるもので、接続の暗号化に使用されるパラメータの暗号化コピーが含まれています。セッションチケットは、主にクライアントがウェブブラウザである場合に使用されます。エッジケース問題の影響を受けた接続が暗号化されたため、問題化する兆候は見られませんでした。ただし、エッジケース問題についての知識があれば、理論的には、影響を受けたセッションチケットを復号化することができます。万が一、影響を受けた接続が確認された場合、影響を受けたセッションチケットに含まれるパラメータを使用して、接続を復号化することができます。
AWS ネットワークには、この種の問題に対する徹底した既存の防御策が組み込まれています。その結果、AWS のデータセンター、アベイラビリティーゾーン、リージョン、ローカルゾーン、Outpost 間の ALB トラフィックは、AWS ネットワーク暗号化によって完全に保護されました。AWS ネットワークと、Amazon VPN や Amazon Direct Connect MACSEC サービスを使用したお客様のプレミスとの間の ALB トラフィックも、完全に保護されました。AWS Network Load Balancer (NLB) 、Classic Load Balancer (CLB)、その他のアマゾン ウェブ サービスは、この問題の影響を受けませんでした。
AWS はこの問題を報告してくださったドイツのパーダーボルン大学とルール大学ボーフムの Simon Nachtigall 氏、Sven Hebrok 氏、Marcel Maehren 氏、Robert Merget 氏、Juraj Somorovsky 氏に感謝いたします。