Deutsch
  • postmortem

Postmortem: Authentifizierungsfehler durch JWKS-Caching und Signaturschlüssel-Rotation

Postmortem zum Authentifizierungs-Vorfall am 8. Januar 2026 (PST).

Gao
Gao
Founder

Verschwenden Sie keine Wochen mit Benutzerauthentifizierung
Bringen Sie sichere Apps schneller mit Logto auf den Markt. Integrieren Sie Benutzerauthentifizierung in Minuten und konzentrieren Sie sich auf Ihr Kernprodukt.
Jetzt starten
Product screenshot

Datum: 8. Januar 2026 (PST)

Dauer: ca. 60 Minuten

Auswirkung: Einige Produktionsmandanten hatten Probleme beim Anmelden und bei der Token-Validierung; die Anmeldung an der Console konnte betroffen sein.

Zusammenfassung

Eine Diskrepanz zwischen einem rotierten Signaturschlüssel und einem zwischengespeicherten JWKS auf unserer *.logto.io-Domain führte zu Fehlern bei der Token-Validierung. Wir haben den JWKS-Cache geleert und auf den vorherigen Signaturschlüssel zurückgesetzt, um den Dienst wiederherzustellen.

Einige Nutzer können weiterhin Anmeldeprobleme in der Console aufgrund des Browser-Caches sehen. Wir entschuldigen uns für die dadurch entstandene Störung.

Zeitachse (PST)

  • 16:00 Uhr Vorfall begann (Fehler bei Authentifizierung/Token-Validierung stiegen an)
  • 16:35 Uhr Ursache identifiziert (JWKS zwischengespeichert, während Signaturschlüssel rotiert wurde)
  • 16:41 Uhr Cache geleert
  • 16:49 Uhr Signaturschlüssel zurückgesetzt
  • 17:00 Uhr Dienst wiederhergestellt; weitere Überwachung

Vorfallsdetails

Auswirkungen

Während des Vorfalls konnten sich einige Nutzer nicht anmelden und einige Token-Validierungen schlugen fehl. Dies betraf mehrere Produktionsmandanten und konnte auch den Zugriff auf die Logto Console blockieren.

Wir haben keine Hinweise auf unbefugten Zugriff im Zusammenhang mit diesem Vorfall gesehen; die Auswirkung war auf Authentifizierungsfehler beschränkt.

Kundenaktion

Kannst du dich immer noch nicht in die Logto Console einloggen? Dann versuche bitte Folgendes:

  • ein Inkognito-/privates Fenster öffnen, oder
  • deinen Browser-Cache löschen/deaktivieren und erneut versuchen

Was ist passiert

  1. Wir haben die JWKS-Caching-Einstellungen für Kundendomains (*.logto.app) aktualisiert. Das JWKS-Caching war versehentlich weiterhin auf unserer Cloud-Domain (*.logto.io) aktiviert.
  2. Wir haben den Signaturschlüssel für unseren Cloud-Service rotiert. Da die JWKS-Antworten für *.logto.io zwischengespeichert waren, verwendeten einige Clients weiterhin einen veralteten JWKS und konnten neu ausgestellte Tokens nicht validieren.
  3. Wir haben den JWKS-Cache für *.logto.io geleert, auf den vorherigen Signaturschlüssel zurückgesetzt und den JWKS-Cache erneut geleert, um sicherzustellen, dass die Clients den zurückgesetzten Schlüsselsatz übernehmen.
  4. Authentifizierung funktioniert wieder. Einige Nutzer können weiterhin Anmeldeprobleme in der Console aufgrund des Browser-Caches sehen.

Erkenntnisse

Schlüsselrotation ist nicht nur ein Schlüsselmanagement-Aufgabe. Es ist eine End-to-End-Kompatibilitätsänderung, bei der das Caching-Verhalten zwischen Aussteller und Validator berücksichtigt werden muss. Konfigurationsabweichungen zwischen Domains (*.logto.app vs *.logto.io) sind ein echtes Risiko. Änderungen, die für eine Domain sicher sind, können eine andere brechen, wenn sie nicht konsistent angewendet werden.

Unsere bestehenden Integrationstests haben das produktionstypische JWKS-Caching-Verhalten nicht abgedeckt, sodass dieser Fehlerfall vor der Rotation nicht erkannt wurde.

Vorbeugende Maßnahmen

Wir implementieren:

  • JWKS-Cache-Invalidierung als verpflichtenden Schritt im Ablauf der Signaturschlüsselrotation (Rotation nur nach Abschluss der Invalidierung)
  • JWKS-Caching bleibt deaktiviert, bis der Invalidierungsablauf einsatzbereit ist; anschließend erneutes Aktivieren des Caching zur Leistungssteigerung
  • produktionstypische Integrationstests für Schlüsselrotation, einschließlich JWKS-Caching-Verhalten und Überprüfung der Cache-Invalidierung