Tls (Transport Layer Security) ve službě Azure Database for PostgreSQL

Azure Database for PostgreSQL vyžaduje, aby všechna klientská připojení používala protokol TLS (Transport Layer Security), standardní protokol, který šifruje komunikaci mezi databázovým serverem a klientskými aplikacemi. Protokol TLS nahrazuje starší protokol SSL s pouze protokolem TLS verze 1.2 a 1.3, který je rozpoznán jako zabezpečený. Integrita zabezpečení protokolu TLS závisí na třech pilířích:

• Používá se pouze protokol TLS verze 1.2 nebo 1.3.
• Klient ověří certifikát TLS serveru vydaný certifikační autoritou (CA) v řetězu certifikačních autorit spuštěných důvěryhodnou kořenovou certifikační autoritou.
• Vyjednávání zabezpečené šifrovací sady mezi serverem a klientem

Důvěryhodné kořenové certifikáty a obměny certifikátů

Důležité

Společnost Microsoft zahájila obměnu certifikátů TLS pro Službu Azure Database for PostgreSQL za účelem aktualizace zprostředkujících certifikátů CA a výsledného řetězu certifikátů. Kořenové certifikační autority zůstanou stejné.

Pokud konfigurace klienta používá doporučené konfigurace protokolu TLS, nemusíte provádět žádnou akci.

Plán obměně certifikátů

• Oblasti Azure – střed USA – středozápad, Východní Asie a Velká Británie – jih zahájily obměnu certifikátů TLS 11. listopadu 2025.
• Od 19. ledna 2026 se plánuje tato obměně certifikátů rozšířit na zbývající oblasti (s výjimkou Číny), včetně Azure Government.
• Po Jarním festivalu (Čínský nový rok) 2026 projdou regiony v Číně také obměnou certifikátu, která zahrnuje změnu jednoho z kořenových certifikačních autorit.

Kořenové certifikační autority používané službou Azure Database for PostgreSQL

Kořenové certifikační autority jsou autoritami nejvyšší úrovně v řetězu certifikátů. Azure Database for PostgreSQL v současné době používá certifikáty se dvěma podepsanými certifikáty vystavené zprostředkující certifikační autoritou (ICA), které jsou ukotvené následujícími kořenovými certifikačními autoritami:

• DigiCert Global Root G2
• Microsoft RSA Root CA 2017

Oblasti Číny v současné době používají následující certifikační autority:

• Microsoft RSA Root CA 2017
• DigiCert globální kořenová certifikační autorita
• Po jarním festivalu (čínský nový rok) 2026: Digicert Global Root G2. Připravte se na tuto změnu předem přidáním nové kořenové certifikační autority do důvěryhodného kořenového úložiště.

Přechodné certifikační autority

Azure Database for PostgreSQL k vydávání certifikátů serveru používá zprostředkující certifikační autority (ICA). Aby společnost Microsoft zachovala zabezpečení, pravidelně obměňuje tyto certifikační autority ICA a certifikáty serverů, které vydávají. Tyto rotace jsou rutinní a neoznamují se předem.

Aktuální obměna přechodných certifikačních autorit pro DigiCert Global Root CA (viz obměna certifikátů) začala v listopadu 2023 a plánuje se dokončit v prvním čtvrtletí roku 2024. Pokud jste postupovali podle doporučených postupů, tato změna nevyžaduje žádné změny ve vašem prostředí.

Starý řetězec certifikační autority

Nepoužívejte certifikáty zprostředkujících certifikačních autorit ani serverové certifikáty ve vašem důvěryhodném kořenovém úložišti.

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
    • Certifikát serveru

Nový řetěz certifikační autority

Nepoužívejte certifikáty zprostředkujících certifikačních autorit ani serverové certifikáty ve vašem důvěryhodném kořenovém úložišti.

• DigiCert Global Root G2
  • Microsoft TLS RSA Root G2
    • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
      • Certifikát serveru

Čtení replik

Migrace kořenové certifikační autority z DigiCert Global Root CA do DigiCert Global Root G2 není dokončena ve všech oblastech. Nově vytvořené repliky pro čtení proto můžou používat novější kořenový certifikát certifikační autority než primární server. Do důvěryhodného úložiště pro repliky čtení byste měli přidat DigiCert Global Root CA.

Řetězy certifikátů

Řetěz certifikátů je hierarchická posloupnost certifikátů vydaných důvěryhodnými certifikačními autoritami (CA). Řetězec začíná kořenovou certifikační autoritou, která vydává zprostředkující CA (ICA) certifikáty. Certifikační autority (ICA) mohou vydávat certifikáty pro podřízené ICA. Nejnižší ICA v řetězu vydává jednotlivé certifikáty serveru. Řetěz důvěryhodnosti vytvoříte tak, že ověříte každý certifikát v řetězu až po kořenový certifikát certifikační autority.

Snížení počtu selhání připojení

Použití doporučených konfigurací protokolu TLS pomáhá snížit riziko selhání připojení kvůli obměně certifikátů nebo změnám mezilehlé certifikační autority. Konkrétně se vyhněte důvěryhodnosti zprostředkujících certifikačních autorit nebo jednotlivých certifikátů serveru. Tyto postupy můžou vést k neočekávaným problémům s připojením, když Microsoft aktualizuje řetěz certifikátů.

Důležité

Microsoft předem oznámí změny v kořenových certifikačních autoritách, které vám pomůžou připravit klientské aplikace. Obměny certifikátů serveru a změny zprostředkujících certifikačních autorit jsou ale rutinní a neoznamují se.

Upozornění

Použití nepodporovaných konfigurací (klienta) způsobuje neočekávané selhání připojení.

Doporučené konfigurace pro protokol TLS

Nejlepší konfigurace

• Vynucujte nejnovější, nejbezpečnější verzi protokolu TLS nastavením parametru ssl_min_protocol_version serveru na TLSv1.3.
• K zajištění úplného ověření certifikátu a názvu hostitele použijte připojení PostgreSQL sslmode=verify-all. V závislosti na konfiguraci DNS s privátními koncovými body nebo integrací virtuální sítě nemusí být verify-all možné. Proto můžete místo toho použít verify-ca .
• Vždy udržujte kompletní sadu kořenových certifikátů Azure ve vašem důvěryhodném kořenovém úložišti.

Dobrá konfigurace

• Nastavte parametr serveru ssl_min_protocol_version na TLSv1.3. Pokud potřebujete podporovat protokol TLS 1.2, nenastavujte minimální verzi.
• K zajištění úplného nebo částečného ověření certifikátu použijte sslmode=verify-all nebo sslmode=verify-ca pro připojení k PostgreSQL.
• Ujistěte se, že důvěryhodné kořenové úložiště obsahuje certifikát kořenové certifikační autority aktuálně používaný službou Azure Database for PostgreSQL:
  • DigiCert Global Root G2
  • Microsoft RSA Root CA 2017

Podporováno, ale nedoporučuje se

Nepoužívejte následující konfigurace:

• Zakázat TLS nastavením require_secure_transport na OFF a nastavením na straně klienta na sslmode=disable.
• Použijte nastavení klientské sslmode, disable, allow, prefer nebo require, které mohou vaši aplikaci vystavit útokům typu man-in-the-middle.

Nepodporované konfigurace; nepoužívejte

Azure PostgreSQL neoznamuje změny o přechodných změnách certifikační autority ani o obměně certifikátů jednotlivých serverů. Proto se při použití sslmode nastavení verify-caverify-allnepodporují následující konfigurace:

• Použití zprostředkujících CA certifikátů v důvěryhodném úložišti.
• Připnutí certifikátu, například použití jednotlivých certifikátů serveru ve vašem důvěryhodném úložišti

Upozornění

Aplikace se nemůžou připojit k databázovým serverům bez upozornění, kdykoli Microsoft změní zprostředkující certifikační autority řetězu certifikátů nebo otočí certifikát serveru.

Problémy s připnutím certifikátu

Poznámka:

Certifikátové rotace vás neovlivní, pokud v připojovacím řetězci své klientské aplikace nepoužíváte nastavení sslmode=verify-full nebo sslmode=verify-ca. Proto nemusíte postupovat podle kroků v této části.

Nikdy v aplikacích nepoužívejte připínání certifikátů, protože přeruší rotaci certifikátů, jako je aktuální změna certifikátu zprostředkujících certifikačních autorit. Jestliže nevíte, co to je připnutí certifikátu, je nepravděpodobné, že ho používáte. Kontrola připnutí certifikátu:

• Vytvořte seznam certifikátů, které jsou v důvěryhodném kořenovém úložišti.
  • Kombinování a aktualizace kořenových certifikátů certifikační autority pro aplikace v Javě
  • Otevřete důvěryhodné kořenové úložiště na klientském počítači a exportujte seznam certifikátů.
• Pokud máte v důvěryhodném kořenovém úložišti certifikáty zprostředkující certifikační autority nebo jednotlivé certifikáty serveru PostgreSQL, používáte uzamčení certifikátu.
• Pokud chcete odstranit připnutí certifikátu, odeberte všechny certifikáty z důvěryhodného kořenového úložiště a přidejte doporučené certifikáty kořenové certifikační autority.

Pokud narazíte na problémy způsobené zprostředkujícím certifikátem i po provedení těchto kroků, obraťte se na podporu Microsoftu. Do názvu zahrňte ICA Rotation 2026 .

Další důležité informace pro protokol TLS

Kromě základní konfigurace protokolu TLS a správy certifikátů ovlivňuje zabezpečení a chování šifrovaných připojení ke službě Azure Database for PostgreSQL několik dalších faktorů. Pochopení těchto aspektů vám pomůže učinit informovaná rozhodnutí o implementaci protokolu TLS ve vašem prostředí.

Nezabezpečené a zabezpečené verze protokolu TLS

Několik subjektů státní správy po celém světě udržuje pokyny pro protokol TLS týkající se zabezpečení sítě. Ve Spojených státech zahrnují tyto organizace oddělení zdravotnictví a lidských služeb a Národní institut standardů a technologií. Úroveň zabezpečení, kterou protokol TLS poskytuje, je nejvíce ovlivněna verzí protokolu TLS a podporovanými šifrovacími sadami.

Azure Database for PostgreSQL podporuje protokol TLS verze 1.2 a 1.3. V dokumentu RFC 8996 explicitně uvádí IETF (Internet Engineering Task Force), že protokol TLS 1.0 a TLS 1.1 se nesmí používat. Oba protokoly byly na konci roku 2019 zastaralé. Všechna příchozí připojení, která používají starší nezabezpečené verze protokolu TLS, například TLS 1.0 a TLS 1.1, jsou ve výchozím nastavení odepřena.

IETF vydal specifikaci TLS 1.3 v dokumentu RFC 8446 v srpnu 2018 a tls 1.3 je doporučená verze, protože je rychlejší a bezpečnější než TLS 1.2.

I když ho nedoporučujeme, v případě potřeby můžete protokol TLS zakázat pro připojení k vaší službě Azure Database for PostgreSQL. Parametr serveru můžete aktualizovat require_secure_transport na OFF.

Důležité

K šifrování připojení k databázi použijte nejnovější verzi protokolu TLS 1.3. Minimální verzi protokolu TLS můžete zadat nastavením parametru ssl_min_protocol_version serveru na TLSv1.3hodnotu . Nenastavujte ssl_max_protocol_version parametr serveru.

Šifrovací sady

Šifrovací sada je sada algoritmů, které zahrnují šifru, algoritmus výměny klíčů a algoritmus hash. Použijte je společně s certifikátem TLS a verzí protokolu TLS k navázání zabezpečeného připojení TLS. Většina klientů a serverů TLS podporuje více šifrovacích sad a někdy i více verzí protokolu TLS. Během vytváření připojení klient a server vyjednávají verzi protokolu TLS a šifrovací sadu, které se mají použít pomocí metody handshake. Během tohoto handshake dojde k následujícím krokům:

• Klient odešle seznam přijatelných šifrovacích sad.
• Server vybere ze seznamu nejlepší sadu šifer a informuje klienta o výběru.

Funkce TLS nejsou dostupné ve službě Azure Database for PostgreSQL

V tuto chvíli Azure Database for PostgreSQL neimplementuje následující funkce TLS:

• Ověřování klienta založeného na certifikátech TLS prostřednictvím protokolu TLS se vzájemným ověřováním (mTLS).
• Vlastní certifikáty serveru (přineste si vlastní certifikáty TLS).

Související obsah

• Konfigurace nastavení klienta TLS pro připojení ke službě Azure Database for PostgreSQL
• Ověřování konfigurace klienta a řešení potíží se selháním připojení