İlk Yayınlama Tarihi: 26.04.2021 10:20 PDT
13 Nisan 2021 tarihinde AWS, bazı Application Load Balancer'ların (ALB) TLS/SSL oturum bileti şifrelemesi için anahtar rotasyonunu ele alış biçimini etkileyen bir uç vakadan haberdar olmuştur. Bu uç vaka ilk olarak Eylül 2020'de meydana gelmiş ve ALB trafiğinin küçük bir yüzdesinin aralıklı olarak başlatılmamış bir oturum bileti şifreleme anahtarı kullanmasına yol açmıştır. Bu uç vaka çoğunlukla etkinliğin yoğun olmadığı dönemlerde tetiklenmiştir. Gün içinde çok sayıda zirve ve dip yaparak yüksek trafik varyasyonuyla karşılaşan ALB'ler bu uç vakayı nadiren tetiklemiştir. Uç vakanın risklerinin azaltılma çalışmaları, vakanın keşfedilmesinden 8 saat sonra başlatılmış ve 16 Nisan 2021 itibariyle tamamlanmıştır. Bu sorun tamamen çözümlenmiştir.
TLS/SSL, ALB'lere yapılan HTTPS bağlantıları için aktarım sırasında şifreleme sağlayan protokoldür. Oturum biletleri, TLS/SSL oturumlarını devam ettirmek için kullanılır ve bağlantıyı şifrelemek üzere kullanılan parametrelerin şifrelenmiş bir kopyasını içerir. Oturum biletleri çoğunlukla istemci bir web tarayıcısıysa kullanılır. Uç vaka sorunundan etkilenen bağlantılar şifrelenmiştir ve dışarıdan bakıldığında sorun yaşandığına dair herhangi bir belirti görülmemektedir. Ancak teorik olarak, uç vaka sorununa dair bilgiler, etkilenen oturum biletlerinin şifresini çözmek için kullanılabilir. İhtimali son derece düşük olmakla birlikte etkilenen bağlantının gözlemleniyor olması halinde, etkilenen bir oturum biletinde yer alan parametreler bağlantının şifresini çözmek için kullanılmış olabilir.
AWS ağı, bu tür sorunlara karşı derinlemesine savunmalar içermektedir. Sonuç olarak AWS veri merkezleri, Erişilebilirlik Alanları, Bölgeleri, Yerel Alanları ve Outpost'ları arasındaki ALB trafiği, AWS Ağ şifrelemesiyle tamamen korunmuştur. AWS ağları ile müşteri sahaları arasında Amazon VPN veya Amazon Direct Connect MACSEC hizmetleri aracılığıyla sağlanan ALB trafiği de tamamen korunmuştur. AWS Network Load Balancer'lar (NLB), Classic Load Balancer'lar (CLB) ve diğer Amazon Web Services hizmetleri bu sorundan etkilenmemiştir.
AWS olarak, sorunu raporladıkları için Almanya'daki Paderborn Üniversitesi'nden ve Bochum Ruhr Üniversitesi'nden Simon Nachtigall, Sven Hebrok, Marcel Maehren, Robert Merget ve Juraj Somorovsky'ye teşekkür ederiz.