The Cloudflare Blog
·
TLS会话恢复中的mTLS客户端证书吊销漏洞
💡
原文英文,约1500词,阅读约需6分钟。
📝
内容提要
2022年12月16日,Cloudflare发现了一个bug,即在有限的情况下,一些拥有吊销证书的用户可能没有被Cloudflare防火墙设置阻止。已经对此bug进行了缓解,并且没有证据表明被利用。已通知可能受影响的客户,以便他们检查日志。Cloudflare防火墙规则的功能是在2021年3月引入的,允许客户吊销或阻止客户端证书,防止其用于身份验证和建立会话。
🎯
关键要点
- 2022年12月16日,Cloudflare发现了一个bug,某些吊销证书的用户可能未被防火墙阻止。
- 该bug导致在使用mTLS时,某些用户能够恢复会话,即使客户已配置防火墙规则。
- Cloudflare已缓解该bug,并通知可能受影响的客户检查日志。
- Cloudflare防火墙规则于2021年3月引入,允许客户吊销或阻止客户端证书。
- mTLS认证协议要求客户端提供证书,以保护服务的安全性。
- Cloudflare在TLS连接中存储客户端证书链,以便在每个HTTP请求中使用。
- 当会话恢复时,未能正确检查证书吊销状态,导致安全漏洞。
- Cloudflare禁用了所有mTLS连接的会话恢复,以立即阻止漏洞。
- 2023年1月18日,Cloudflare完成了支持会话恢复和证书吊销的修复。
- Cloudflare未发现该漏洞在实际中被利用的证据。
➡️
