envoyproxy/envoy

SPIFFE validator + "mtls_authenticated" do not support session resumption

Open

#42.668 aberto em 17 de dez. de 2025

Ver no GitHub
 (4 comments) (0 reactions) (0 assignees)C++ (5.373 forks)batch import
area/tlsbughelp wanted

Métricas do repositório

Stars
 (27.997 stars)
Métricas de merge de PR
 (Mesclagem média 7d 21h) (260 fundiu PRs em 30d)

Description

On a resumed session, "peer certificate validated" is set to false since that bit is cert by the validator flow per connection. That means any policy using mtls_authenticated evaluates to false, and can be dangerous if used as a DENY policy. The workaround is to disable session resumption in TLS.

Guia do colaborador

Direção de pesquisa
Investigue como o validador SPIFFE define o sinalizador 'peer certificate validated' durante a retomada da sessão TLS no Envoy. Rastreie o caminho do código para garantir que o sinalizador seja definido corretamente nas sessões retomadas.
Pilha de tecnologia
cpp
Domain
backendsecurity
Tipo Issue
Bug
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
1-2 dias
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Ativo
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Claro
Prerequisites
C++TLSSPIFFEEnvoy
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
35