envoyproxy/envoy

SPIFFE validator + "mtls_authenticated" do not support session resumption

Open

Aperta il 17 dic 2025

Vedi su GitHub
 (4 commenti) (0 reazioni) (0 assegnatari)C++ (27.997 star) (5373 fork)batch import
area/tlsbughelp wanted

Descrizione

On a resumed session, "peer certificate validated" is set to false since that bit is cert by the validator flow per connection. That means any policy using mtls_authenticated evaluates to false, and can be dangerous if used as a DENY policy. The workaround is to disable session resumption in TLS.

Guida contributor

Tech stack
cpp
Dominio
backendsecurity
Tipo issue
bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-2 days
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
active
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
clear
Prerequisiti
C++TLSSPIFFEEnvoy
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
35
Direzione di ricerca
Indaga come il validatore SPIFFE imposta il flag 'peer certificate validated' durante la ripresa della sessione TLS in Envoy. Traccia il percorso del codice per assicurarti che il flag sia impostato correttamente nelle sessioni riprese.