envoyproxy/envoy

SPIFFE validator + "mtls_authenticated" do not support session resumption

Open

#42.668 geöffnet am 17. Dez. 2025

Auf GitHub ansehen
 (4 Kommentare) (0 Reaktionen) (0 zugewiesene Personen)C++ (5.373 Forks)batch import
area/tlsbughelp wanted

Repository-Metriken

Stars
 (27.997 Stars)
PR-Merge-Metriken
 (Durchschn. Merge 7T 21h) (260 gemergte PRs in 30 T)

Beschreibung

On a resumed session, "peer certificate validated" is set to false since that bit is cert by the validator flow per connection. That means any policy using mtls_authenticated evaluates to false, and can be dangerous if used as a DENY policy. The workaround is to disable session resumption in TLS.

Contributor Guide

Research-Richtung
Untersuchen Sie, wie der SPIFFE Validator das Flag 'peer certificate validated' während der TLS Sitzungswiederaufnahme in Envoy setzt. Verfolgen Sie den Codepfad, um sicherzustellen, dass das Flag in fortgesetzten Sitzungen korrekt gesetzt wird.
Tech Stack
cpp
Domain
backendsecurity
Issue Type
Fehler
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
3
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
1-2 Tage
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
Aktiv
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
Klar
Voraussetzungen
C++TLSSPIFFEEnvoy
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
35