Problemas conhecidos para todas as instâncias hsm2m.medium do AWS CloudHSM

Impacto: o hsm2m.medium cumpre os requisitos mais recentes do FIPS 140-3 de nível 3. O login no hsm2m.medium segue os requisitos aprimorados de segurança e conformidade, o que resulta em maior latência.

Solução alternativa: se possível, serialize as solicitações de login na mesma aplicação para evitar latência prolongada durante o login. Várias solicitações de login em paralelo causarão maior latência.

Impacto: a instância HSM hsm2m.medium aprimorou a arquitetura de compartilhamento justo, o que resulta em um desempenho previsível mais consistente em comparação com hsm1.medium. Com o hsm1.medium, os clientes podem observar um melhor desempenho de descoberta de chave devido ao uso irregular dos recursos do HSM. No entanto, o desempenho da descoberta de chave do hsm1.medium diminuirá quando a instância do HSM for corrigida ou atualizada com um novo firmware. Esse problema afeta operações como KeyStore.getKey() no JCE.

Solução alternativa: estamos trabalhando para melhorar nosso firmware do HSM. Como prática recomendada, armazene em cache os resultados das operações de descoberta de chave. O armazenamento em cache reduzirá o número total de operações de descoberta de chave, pois é uma operação que consome muitos recursos no HSM. Além disso, implemente novas tentativas do lado do cliente com instabilidade e recuo exponenciais para reduzir as falhas de controle de utilização do HSM.

Impacto: qualquer usuário de CO que tente definir o atributo confiável de uma chave receberá um erro indicando User type should be CO or CU.

Resolução: versões futuras do Client SDK resolverão esse problema. As atualizações serão anunciadas no Histórico do documento do nosso guia do usuário.

Impacto: a operação de verificação do ECDSA realizada para HSMs no modo FIPS falhará.

Status da resolução: esse problema foi resolvido na Versão 5.13.0 do Client SDK. Você deve atualizar para essa versão do cliente ou superior para se beneficiar da correção.

Impacto: certificados no formato DER não podem ser registrados como âncoras confiáveis do mTLS com a CLI do CloudHSM.

Solução alternativa: você pode converter um certificado no formato DER para o formato PEM com o comando openssl: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Impacto: todas as operações realizadas pela aplicação serão interrompidas e o usuário será solicitado a inserir a frase secreta na entrada padrão várias vezes durante a vida útil da aplicação. As operações atingirão o tempo limite e falharão se a senha não for fornecida antes da duração do tempo limite da operação.

Solução alternativa: as chaves privadas criptografadas com frase secreta não são suportadas pelo mTLS. Remova a criptografia de senha da chave privada do cliente

Impacto: a replicação do usuário falha nas instâncias hsm2m.medium ao usar a CloudHSM CLI. O comando user replicate funciona conforme o esperado nas instâncias hsm1.medium.

Resolução: estamos trabalhando para resolver esse problema. Consulte as atualizações no Guia do usuário do Histórico do documento.

Impacto: as operações como a geração de números aleatórios podem falhar em instâncias hsm2m.medium enquanto o AWS CloudHSM cria um backup.

Resolução: para minimizar as interrupções do serviço, implemente estas melhores práticas:

Para obter mais informações sobre as melhores práticas, consulte Melhores práticas para o AWS CloudHSM.

Impacto: o SDK 5.8 e superior do cliente não tentará novamente algumas operações de controle de utilização do HSM

Solução alternativa: siga as melhores práticas para arquitetar seu cluster para lidar com a carga e implementar novas tentativas em nível de aplicação. Estamos trabalhando em uma solução. As atualizações serão anunciadas no Histórico do documento do nosso guia do usuário.

Status da resolução: este problema foi resolvido na versão Client SDK 5.16.2 do AWS CloudHSM. Você deve atualizar para essa versão do cliente ou superior para se beneficiar da correção.