최초 게시일: 2021년 4월 26일 10:20 AM PDT
2021년 4월 13일에 AWS는 일부 ALB(Application Load Balancers)가 TLS/SSL 세션 티켓 암호화를 위한 키 순환을 처리하는 방식에 영향을 미치는 엣지 사례를 인식하였습니다. 이 엣지 사례는 2020년 9월에 도입되었으며 초기화되지 않은 세션 티켓 암호화 키를 사용하여 간헐적으로 적은 비율의 ALB 트래픽이 발생했습니다. 엣지 사례는 주로 조용한 활동 기간 동안 트리거되었습니다. 일일 최고점 및 최저점과 같이 트래픽 변동이 큰 ALB는 엣지 사례를 거의 트리거하지 않았습니다. 엣지 사례에 대한 완화는 발견 후 8시간 이내에 시작되어 2021년 4월 16일에 완료되었습니다. 이 문제는 완전히 해결되었습니다.
TLS/SSL은 ALB에 대한 HTTPS 연결을 위해 전송 중 암호화를 제공하는 프로토콜입니다. 세션 티켓은 TLS/SSL 세션을 다시 시작하는 데 사용되며 연결을 암호화하는 데 사용되는 파라키터의 암호화된 복사본을 포함합니다. 세션 티켓은 클라이언트가 웹 브라우저일 때 주로 사용됩니다. 엣지 사례 문제의 영향을 받은 연결은 암호화되었으며 외부에서 문제가 발생한 흔적은 없었습니다. 그러나 이론적으로 엣지 사례 문제에 대한 지식은 영향을 받는 세션 티켓을 복호화하는 데 사용할 수 있습니다. 영향을 받는 연결이 관찰되는 매우 드문 경우에는 영향을 받는 세션 티켓에 포함된 파라미터를 사용하여 연결을 복호화할 수 있습니다.
AWS 네트워크는 이러한 종류의 문제에 대한 심층적인 기존 방어를 포함합니다. 결과적으로, AWS 데이터 센터, 가용 영역, 리전. 로컬 영역 및 Outpost 간의 ALB 트래픽은 AWS 네트워크 암호화에 의해 완벽하게 보호되었습니다. 또한 AWS VPN 또는 Amazon Direct Connect MACSEC 서비스를 사용하는 고객 시설과 AWS 네트워크 사이의 ALB 트래픽도 완벽하게 보호되었습니다. AWS Network Load Balancers(NLB), Classic Load Balancers(CLB) 및 기타 Amazon Web Services는 이 문제의 영향을 받지 않았습니다.
AWS는 이 문제를 보고해 주신 독일 루어 대학교 및 파더본 대학교의 Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget, Juraj Somorovsky에게 감사드립니다.