初始發布日期:2021/04/26 上午 10:20 (太平洋夏令時間)
2021 年 4 月 13 日時,AWS 注意到有一個邊緣案例影響了部分 Application Load Balancers (ALB) 處理 TLS/SSL 工作階段記錄單加密的金鑰輪換方式。此邊緣案例首次出現於 2020 年 9 月,造成少部分的 ALB 流量間歇性地使用未初始化的工作階段記錄單加密金鑰。此邊緣案例主要是在沒什麼活動的時段觸發。流量高度變化的 ALB (例如每日尖峰和離峰) 甚少觸發此邊緣案例。此邊緣案例在發現後的 8 小時內已開始減緩,在 2021 年 4 月 16 日時已完成減緩。此問題已完全解決。
TLS/SSL 是通訊協定,為 HTTPS 連線到 ALB 的傳輸提供加密。工作階段記錄單是用於繼續 TLS/SSL 工作階段,針對用來加密連線的參數,也包含了經過加密的副本。工作階段記錄單主要是在用戶端是 Web 瀏覽器時使用。受到此邊緣案例問題所影響的連線已經過加密,外觀上沒有出現任何問題的跡象。然而,理論上,此邊緣案例問題的知識有可能會被用來解密受影像的工作階段記錄單。雖然不太可能發生,但如果受影響的連線受到監視,受影響的工作階段記錄單中所包含的參數可能會被用來解密連線。
AWS 網路中包含了現有的深度防護,防止這類問題發生。因此,在 AWS 資料中心、可用區域、區域、當地區域和 Outposts 之間的 ALB 流量都受到 AWS 網路加密的完整保護。AWS 網路與使用 Amazon VPN 或 Amazon Direct Connect MACSEC 服務的客戶部署連線之間的 ALB 流量也受到完整保護。AWS Network Load Balancer (NLB)、Classic Load Balancer (CLB) 和其他 Amazon Web Services 並未受到這個問題的影響。
AWS 想向德國帕德博恩大學 (Paderborn University) 和波鴻魯爾大學 (Ruhr University Bochum) 的 Simon Nachtigall、Sven Hebrok、Marcel Maehren、Robert Merget 和 Juraj Somorovsky 致謝,感謝他們回報此問題。