Дата первой публикации: 26.04.2021, 10:20 по тихоокеанскому времени
13 апреля 2021 года сотрудникам AWS стало известно о пограничном случае, который затрагивал ротацию ключей при шифровании удостоверений сеансов TLS/SSL некоторыми экземплярами Application Load Balancer (ALB). Этот пограничный случай появился в сентябре 2020 года и привел к тому, что небольшой процент трафика ALB периодически использовал неинициализированные ключи шифрования удостоверений сеансов. Пограничный случай преимущественно возникает в периоды незначительной активности. В ALB с большим разбросом объемов трафика, например дневными пиками и спадами, подобные случаи появлялись редко. Уменьшение последствий пограничного случая началось в течение 8 часов после обнаружения и было завершено 16 апреля 2021 года. Эта проблема полностью устранена.
TLS/SSL – это протокол, который обеспечивает шифрование при передаче через HTTPS-соединение на ALB. Удостоверения сеанса используются для возобновления сеансов TLS/SSL и содержат зашифрованную копию параметров, используемых для шифрования соединения. Чаще всего они используются, если клиентом является веб-браузер. Соединения, которые затронул пограничный случай, были зашифрованы, и внешние признаки наличия проблемы отсутствовали. Однако теоретически наличие информации о существовании такого пограничного случая позволяло расшифровать удостоверения связанных сеансов. В очень маловероятном случае отслеживания соединения, затронутого таким пограничным случаем, параметры, содержащиеся в его удостоверении, можно использовать для расшифровки соединения.
Сеть AWS оснащена глубинными средствами защиты от подобных проблем. Благодаря этому трафик ALB между центрами обработки данных AWS, зонами доступности, регионами, локальными зонами и Outpost был полностью защищен сетевым шифрованием AWS. Трафик ALB, передававшийся между сетями AWS и объектами клиентов с помощью сервисов Amazon VPN и Amazon Direct Connect MACSEC также был полностью защищен. Эта проблема не затронула Network Load Balancer (NLB) и Classic Load Balancer (CLB) AWS, а также другие Amazon Web Services.
AWS благодарит Саймона Нахтигалла (Simon Nachtigall), Свена Хеброка (Hebrok), Марселя Мерена (Marcel Maehren), Роберта Мергета (Robert Merget) и Юрая Соморовского (Juraj Somorovsky) из Университета Падерборна и Рурского университета в Бохуме (Германия) за уведомление об этой проблеме.