Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Od 31. března 2025 bude pro Službu Azure Cosmos DB povolená podpora protokolu TLS 1.3.
Od 31. srpna 2025 oficiálně ukončujeme protokol TLS 1.0/1.1.. Podporuje se pouze protokol TLS 1.2 nebo vyšší.
Azure Cosmos DB umožňuje podporu protokolu TLS 1.3 na veřejných koncových bodech na celé platformě globálně v souladu s osvědčenými postupy zabezpečení. Tento článek obsahuje další pokyny, jak se připravit na nadcházející podporu protokolu TLS 1.3 pro službu Azure Cosmos DB.
Protokol TLS 1.3 přináší ve srovnání se svými předchůdci podstatná vylepšení. Vylepšení protokolu TLS 1.3 se zaměřují na výkon i zabezpečení s rychlejšími metodami handshake a zjednodušenou sadou bezpečnějších šifrovacích sad, konkrétně TLS_AES_256_GCM_SHA384 a TLS_AES_128_GCM_SHA256. Protokol TLS 1.3 zejména upřednostňuje perfect forward secrecy (PFS) odstraněním algoritmů výměny klíčů, které ho nepodporují.
Klienti, kteří využívají nejnovější dostupnou verzi protokolu TLS, automaticky vyberou protokol TLS 1.3, když je k dispozici. Služba Azure Cosmos DB nadále podporuje protokol TLS 1.2 kromě protokolu TLS 1.3.
Tyto problémy jsou některé z známých problémů s povolením protokolu TLS 1.3, potenciálním účinkem a zmírněním rizik.
Známé problémy, vliv a zmírnění rizik
Problémy související s JDK: Verze io.netty mezi
4.1.68.Finala4.1.86.Finalvčetně obsahují chybu, která způsobí, že klient selže metodu handshake protokolu TLS v přímém režimu připojení, když modul runtime Java nepodporuje protokol TLS 1.3. Verze sady Java SDK služby Azure Cosmos DB od 4.20.0 do 4.40.0 mají tranzitivní závislost na io.netty s touto chybou. Klient selže s výjimkamijava.lang.IllegalArgumentException, jak je znázorněno tady.Caused by: io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: General OpenSslEngine problem at ... Caused by: java.lang.IllegalArgumentException: TLSv1.3 at sun.security.ssl.ProtocolVersion.valueOf(ProtocolVersion.java:187)Doporučení pro zmírnění rizik:
- Možnost 1: (Povinné) Upgradujte sadu Java SDK služby Azure Cosmos DB alespoň na minimální doporučenou verzi.
- Možnost 2: Zjistili jsme, že upgrade na nejnovější verzi sady SDK nemusí být vždy proveditelný. Při přechodu aplikace na nejnovější sadu SDK můžete tento problém vyřešit přepnutím připojení do režimu brány. Před nasazením aplikace do produkčního prostředí nezapomeňte aplikaci důkladně otestovat.
Poznámka:
Povolení použití protokolu TLS 1.3 vyžaduje modul runtime Java pro podporu protokolu TLS 1.3.