أمان طبقة النقل (TLS) في قاعدة بيانات Azure لPostgreSQL

يتطلب Azure Database for PostgreSQL استخدام جميع اتصالات العملاء بأمان طبقة النقل (TLS)، وهو بروتوكول قياسي في الصناعة يشفر الاتصالات بين خادم قاعدة البيانات وتطبيقات العميل. يحل TLS محل بروتوكول SSL الأقدم، حيث تم الاعتراف فقط بنسخ TLS 1.2 و1.3 كآمنة. تعتمد سلامة أمان TLS على ثلاثة أعمدة:

• أستخدم فقط إصدارات TLS 1.2 أو 1.3.
• يقوم العميل بالتحقق من صحة شهادة TLS الخاصة بالخادم الصادرة عن سلطة الشهادات (CA) ضمن سلسلة من شهادات الشهادات التي بدأها سلطة اعتماد جذر موثوقة.
• التفاوض على مجموعة تشفير آمنة بين الخادم والعميل.

شهادات الجذر الموثوقة ودورات الشهادات

Important

بدأت مايكروسوفت دورة شهادات TLS لقاعدة بيانات Azure لصالح PostgreSQL لتحديث شهادات CA الوسيطة وسلسلة الشهادات الناتجة. الجذر الكافي يبقى كما هو.

إذا كان تكوين العميل يستخدم الإعدادات الموصى بها ل TLS، فلن تحتاج لاتخاذ أي إجراء.

جدول تدوير الشهادات المتوسطة:

• التحديثات لمناطق Azure غرب وسط الولايات المتحدة وشرق آسيا مكتملة.
• تبدأ التحديثات لمناطق جنوب المملكة المتحدة وحكومات الولايات المتحدة في 21 يناير 2026.
• تبدأ التحديثات لوسط الولايات المتحدة في 26 يناير 2026.
• تبدأ التحديثات لجميع المناطق الأخرى في 28 يناير 2026.
• بعد مهرجان الربيع (رأس السنة الصينية) 2026، ستخضع مناطق الصين أيضا لدورة شهادات تشمل تغييرا إلى أحد شهادات السنة الجذرية.

الجهات الجذرية التي تستخدمها قاعدة بيانات Azure لPostgreSQL

شهادات الجذر هي المرجع الأعلى في سلسلة الشهادات. تستخدم قاعدة بيانات Azure ل PostgreSQL حاليا شهادات موقعة مزدوجة صادرة عن CA وسيط (ICA) مدعومة ب الجذر التالي:

• DigiCert الجذر العالمي G2
• Microsoft RSA الجذر CA 2017

تستخدم مناطق الصين حاليا الحسابات المرجعية التالية:

• Microsoft RSA الجذر CA 2017
• DigiCert الجذر العالمي CA
• مهرجان ما بعد الربيع (رأس السنة الصينية) 2026: Digicert Global Root G2. استعد لهذا التغيير مسبقا بإضافة شهادة الجذر الجديدة إلى متجر الجذر الموثوق بك.

المحاسبات المتوسطة

يستخدم Azure Database for PostgreSQL شهادات رقمية وسيطة (ICAs) لإصدار شهادات الخوادم. للحفاظ على الأمان، تقوم مايكروسوفت بتدوير هذه الشهادات ICA وشهادات الخوادم التي تصدرها بشكل دوري. هذه الدورات روتينية ولا يتم الإعلان عنها مسبقا.

بدأ التناوب الحالي لمساعدي الشهادات المتوسطين ( DigiCert Global Root CA انظر تدوير الشهادات) في نوفمبر 2025 ومن المقرر إكماله في الربع الأول من عام 2026. إذا اتبعت الممارسات الموصى بها، فإن هذا التغيير لا يتطلب تغييرات في بيئتك.

سلسلة كاليفورنيا القديمة

لا تستخدم شهادات الكاد الوسيطة أو شهادات الخادم في المتجر الجذري الموثوق لديك.

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
    • شهادة الخادم

سلسلة كاليفورنيا الجديدة

لا تستخدم شهادات الكاد الوسيطة أو شهادات الخادم في المتجر الجذري الموثوق لديك.

• DigiCert Global Root G2
  • Microsoft TLS RSA Root G2
    • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
      • شهادة الخادم

قراءة النسخ المتماثلة

لم تكتمل عملية نقل Root CA من DigiCert Global Root CA إلى DigiCert Global Root G2 في جميع المناطق. لذلك، من الممكن أن تستخدم النسخ المقردة الجديدة شهادة CA أصلية أحدث من الخادم الأساسي. يجب عليك إضافة DigiCert Global Root CA إلى المخزن الموثوق لنسخ القراءة.

سلاسل الشهادات

سلسلة الشهادات هي تسلسل هرمي من الشهادات الصادرة عن جهات الشهادات الموثوقة (CAs). تبدأ السلسلة من الجذر الذي يصدر شهادات CA وسيطة (ICA). يمكن لجمعيات ICA إصدار شهادات للحسابات المستقلة الأدنى (ICAs). أدنى ICA في السلسلة يصدر شهادات خوادم فردية. تقوم بإنشاء سلسلة الثقة من خلال التحقق من كل شهادة في السلسلة حتى شهادة CA الجذرية.

تقليل أعطال الاتصال

استخدام تكوينات TLS الموصى بها يساعد في تقليل خطر فشل الاتصال بسبب تدوير الشهادات أو تغييرات في الحسابات الوسيطة. تحديدا، تجنب الاعتماد على شهادات الوسيط أو شهادات الخوادم الفردية. يمكن أن تؤدي هذه الممارسات إلى مشاكل اتصال غير متوقعة عندما تقوم مايكروسوفت بتحديث سلسلة الشهادات.

Important

أعلنت مايكروسوفت عن تغييرات في شهادات الأصل مسبقا لمساعدتك في إعداد تطبيقات العملاء الخاصة بك. ومع ذلك، فإن تناوب شهادات الخوادم والتغييرات في شهادات الخوادم المتوسطة أمر روتيني ولا يتم الإعلان عنه.

Caution

استخدام إعدادات العميل غير المدعومة يسبب أعطالا غير متوقعة في الاتصال.

التكوينات الموصى بها ل TLS

أفضل تكوين

• فرض أحدث وأكثر إصدار TLS أمانا عن طريق تعيين ssl_min_protocol_version معامل الخادم على TLSv1.3.
• استخدم sslmode=verify-all اتصالات PostgreSQL لضمان التحقق الكامل من الشهادات واسم المضيف. اعتمادا على تكوين DNS الخاص بك مع نقاط النهاية الخاصة أو تكامل الشبكة الافتراضية، verify-all قد لا يكون ذلك ممكنا. لذلك، يمكنك استخدامه verify-ca بدلا من ذلك.
• دائما احتفظ بمجموعة كاملة من شهادات جذر Azure في محفظتك الموثوقة.

تكوين جيد

• قم بتعيين ssl_min_protocol_version معامل الخادم على TLSv1.3. إذا كان يجب عليك دعم TLS 1.2، فلا تحدد النسخة الدنيا (الحد الأدنى).
• استخدم sslmode=verify-all أو sslmode=verify-ca لاتصالات PostgreSQL لضمان التحقق الكامل أو الجزئي من الشهادة.
• تأكد من أن المخزن الجذري الموثوق يحتوي على شهادة CA الجذرية المستخدمة حاليا من قبل قاعدة بيانات Azure ل PostgreSQL:
  • DigiCert الجذر العالمي G2
  • Microsoft RSA الجذر CA 2017

مدعوم، لكن غير موصى به

لا تستخدم الإعدادات التالية:

• قم بتعطيل TLS عن طريق تعيين require_secure_transport على وتعيين OFF جانب العميل على sslmode=disable.
• استخدم إعدادات جانب sslmode العميل ، disable، allow، أو prefer تلك التي قد تجعل تطبيقك عرضة لهجمات الرجل في الوسطrequire.

تكوينات غير مدعومة؛ لا تستخدم

لا يعلن Azure PostgreSQL عن تغييرات حول تغييرات CA الوسيطة أو دورات شهادات الخوادم الفردية. لذلك، فإن التكوينات التالية غير مدعومة عند استخدام sslmode الإعدادات verify-ca أو verify-all:

• استخدام شهادات CA المتوسطة في متجرك الموثوق.
• باستخدام تثبيت الشهادات، مثل استخدام شهادات الخادم الفردية في متجرك الموثوق.

Caution

تفشل تطبيقاتك في الاتصال بخوادم قاعدة البيانات دون سابق إنذار كلما قامت مايكروسوفت بتغيير CAs الوسيطة لسلسلة الشهادات أو تدوير شهادة الخادم.

مشاكل تثبيت الشهادات

ملاحظة

تناوب الشهادات لا يؤثر عليك إذا لم تستخدم sslmode=verify-full إعدادات أو sslmode=verify-ca في سلسلة اتصال تطبيق العميل الخاصة بك. لذلك ، لا تحتاج إلى اتباع الخطوات الواردة في هذا القسم.

لا تستخدم تثبيت الشهادات في تطبيقاتك لأنه يسبب تناوب الشهادات، مثل تغيير شهادة CAs المتوسطين الحالي. إذا لم تكن تعرف ما هو تثبيت الشهادة، فمن غير المرجح أنك تستخدمه. للتحقق من تثبيت الشهادة:

• أنشئ قائمة الشهادات الموجودة في متجر الجذر الموثوق لديك.
  • دمج وتحديث شهادات CA الجذرية لتطبيقات جافا.
  • افتح المخزن الجذري الموثوق على جهاز العميل وصدر قائمة الشهادات.
• أنت تستخدم تثبيت الشهادات إذا كان لديك شهادات CA متوسطة أو شهادات خوادم PostgreSQL فردية في المخزن الجذري الموثوق لديك.
• لإزالة تثبيت الشهادات، قم بإزالة جميع الشهادات من مخزن الجذر الموثوق بك وأضف شهادات CA الجذرية الموصى بها.

إذا واجهت مشاكل بسبب الشهادة الوسيطة حتى بعد اتباع هذه الخطوات، تواصل مع دعم مايكروسوفت. أضف دورة ICA 2026 في العنوان.

اعتبارات أخرى ل TLS

بعيدا عن تكوين TLS الأساسي وإدارة الشهادات، هناك عدة عوامل أخرى تؤثر على أمان وسلوك الاتصالات المشفرة إلى قاعدة بيانات Azure لPostgreSQL. فهم هذه الاعتبارات يساعدك على اتخاذ قرارات مستنيرة بشأن تنفيذ TLS في بيئتك.

Important

قاعدة بيانات Azure ل PostgreSQL لا تدعم مصادقة شهادات عميل TLS (TLS مشتركة). لا تدرج معايير شهادة العميل (sslcert, sslkey) في سلاسل الاتصال الخاصة بك لأنها غير مدعومة وقد تسبب مشاكل في الاتصال.

إصدارات TLS غير الآمنة والآمنة

تحتفظ العديد من الكيانات الحكومية في جميع أنحاء العالم بإرشادات لطبقة النقل الآمنة فيما يتعلق بأمن الشبكة. في الولايات المتحدة ، تشمل هذه المنظمات وزارة الصحة والخدمات الإنسانية والمعهد الوطني للمعايير والتكنولوجيا. يتأثر مستوى الأمان الذي يوفره TLS بشكل أكبر بإصدار بروتوكول TLS ومجموعات التشفير المدعومة.

يدعم Azure Database for PostgreSQL إصدارات TLS 1.2 و1.3. في RFC 8996، تنص فرقة هندسة الإنترنت (IETF) صراحة على أنه لا يجب استخدام TLS 1.0 وTLS 1.1. تم إهمال كلا البروتوكولين بحلول نهاية عام 2019. جميع الاتصالات الواردة التي تستخدم إصدارات سابقة غير آمنة من بروتوكول TLS، مثل TLS 1.0 وTLS 1.1، ترفض بشكل افتراضي.

أصدرت IETF مواصفة TLS 1.3 في RFC 8446 في أغسطس 2018، وTLS 1.3 هي النسخة الموصى بها لأنها أسرع وأكثر أمانا من TLS 1.2.

على الرغم من أننا لا نوصي بذلك، إذا لزم الأمر، يمكنك تعطيل TLS للاتصال بقاعدة بيانات Azure الخاصة بك ل PostgreSQL. يمكنك تحديث require_secure_transport معلمة الخادم إلى OFF.

Important

استخدم أحدث إصدار من TLS 1.3 لتشفير اتصالات قاعدة بياناتك. يمكنك تحديد النسخة الدنيا TLS عن طريق تعيين ssl_min_protocol_version معلمة الخادم على TLSv1.3. لا تضبط ssl_max_protocol_version معامل الخادم.

أجنحة التشفير

مجموعة التشفير هي مجموعة من الخوارزميات التي تشمل شيفرة، وخوارزمية تبادل المفاتيح، وخوارزمية تجزئة. استخدمها مع شهادة TLS ونسخة TLS لإنشاء اتصال TLS آمن. معظم عملاء وخوادم TLS تدعم عدة مجموعات تشفير وأحيانا عدة إصدارات TLS. أثناء إنشاء الاتصال، يتفاوض العميل والخادم على نسخة TLS وحزمة التشفير لاستخدامها من خلال المصافحة. خلال هذه المصافحة، تحدث الخطوات التالية:

• العميل يرسل قائمة بمجموعات التشفير المقبولة.
• يختار الخادم أفضل مجموعة تشفير من القائمة ويبلغ العميل بالاختيار.

ميزات TLS غير متوفرة في قاعدة بيانات Azure ل PostgreSQL

في الوقت الحالي، لا ينفذ Azure Database for PostgreSQL الميزات التالية TLS:

• المصادقة المعتمدة على شهادات TLS للعميل عبر TLS مع المصادقة المتبادلة (mTLS).
• شهادات خادم مخصصة (أحضر شهادات TLS الخاصة بك).

المحتوى ذو الصلة

• تكوين إعدادات عميل TLS للاتصال بقاعدة بيانات Azure ل PostgreSQL
• التحقق من إعدادات العميل واستكشاف أعطال الاتصال