envoyproxy/envoy

SPIFFE validator + "mtls_authenticated" do not support session resumption

Open

#42 668 ouverte le 17 déc. 2025

Voir sur GitHub
 (4 commentaires) (0 réactions) (0 assignés)C++ (5 373 forks)batch import
area/tlsbughelp wanted

Métriques du dépôt

Stars
 (27 997 stars)
Métriques de merge PR
 (Merge moyen 7j 21h) (260 PRs mergées en 30 j)

Description

On a resumed session, "peer certificate validated" is set to false since that bit is cert by the validator flow per connection. That means any policy using mtls_authenticated evaluates to false, and can be dangerous if used as a DENY policy. The workaround is to disable session resumption in TLS.

Guide contributeur

Direction de recherche
Enquetez sur la façon dont le validateur SPIFFE définit le drapeau 'peer certificate validated' lors de la reprise de session TLS dans Envoy. Tracez le chemin du code pour vous assurer que le drapeau est correctement défini sur les sessions reprises.
Stack technique
cpp
Domaine
backendsecurity
Type d'issue
Bug
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
1-2 jours
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
Active
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
Claire
Prérequis
C++TLSSPIFFEEnvoy
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
35