Transport Layer Security (TLS) az Azure Database for PostgreSQL-ben

Az Azure Database for PostgreSQL megköveteli, hogy az összes ügyfélkapcsolat a Transport Layer Security (TLS) protokollt használja, amely egy iparági szabványnak megfelelő protokoll, amely titkosítja az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti kommunikációt. A TLS felülírja a régebbi SSL protokollt, és csak a TLS 1.2-s és 1.3-as verzióit ismerik biztonságosnak. A TLS-biztonság integritása három pilléren alapul:

• Csak a TLS 1.2-s vagy 1.3-s verzióit használja.
• Az ügyfél ellenőrzi a kiszolgáló hitelesítésszolgáltató (CA) által kiadott TLS-tanúsítványát egy megbízható legfelső szintű hitelesítésszolgáltató által indított hitelesítésszolgáltatói láncban.
• Biztonságos titkosítási csomag egyeztetése a kiszolgáló és az ügyfél között.

Megbízható gyökértanúsítványok és tanúsítványváltások

Fontos

A Microsoft TLS-tanúsítványváltást indított az Azure Database for PostgreSQL-hez a köztes hitelesítésszolgáltatói tanúsítványok és az eredményül kapott tanúsítványlánc frissítéséhez. A legfelső szintű hitelesítésszolgáltatók változatlanok maradnak.

Ha az ügyfélkonfiguráció a TLS-hez ajánlott konfigurációkat használja, nem kell semmilyen műveletet elvégeznie.

Tanúsítvány rotálásának ütemezése

• 2025. november 11-én megkezdték A TLS-tanúsítványok rotálását az USA nyugati középső régiójában, Kelet-Ázsiában és az Egyesült Királyság déli régiójában.
• 2026. január 19-től ez a tanúsítványváltás a tervek szerint a többi (Kína kivételével) régióra is kiterjed, beleértve az Azure Governmentt is.
• A 2026-os tavaszi fesztivál (kínai újév) után a kínai régiók tanúsítványváltáson is átesnek, amely az egyik fő hitelesítésszolgáltatóra való váltást is magában foglalja.

Az Azure Database for PostgreSQL által használt gyökér hitelesítésszolgáltatók

A fő hitelesítésszolgáltatók a tanúsítványlánc legfelső szintű hatóságai. Az Azure Database for PostgreSQL jelenleg egy köztes hitelesítésszolgáltató (ICA) által kibocsátott, kettős aláírású tanúsítványokat használ, amelyeket a következő legfelső szintű hitelesítésszolgáltatók rögzítenek:

• DigiCert Global Root G2
• Microsoft RSA Root CA 2017

A kínai régiók jelenleg a következő hitelesítésszolgáltatókat használják:

• Microsoft RSA Root CA 2017
• DigiCert Global Root CA
• A 2026-os tavaszi fesztivál (kínai újév) után: Digicert Global Root G2. Előre felkészülhet erre a változásra, ha hozzáadja az új legfelső szintű hitelesítésszolgáltatót a megbízható legfelső szintű tárolóhoz.

Köztes hitelesítésszolgáltatók

Az Azure Database for PostgreSQL köztes hitelesítésszolgáltatókat (ICA-kat) használ a kiszolgálói tanúsítványok kiállításához. A biztonság fenntartása érdekében a Microsoft rendszeresen elforgatja ezeket az ICA-kat és a kibocsátott kiszolgálói tanúsítványokat. Ezek a rotációk rutinszerűek, és nincsenek előre bejelentve.

A köztes hitelesítésszolgáltatók DigiCert Global Root CA jelenlegi rotációja (lásd: Tanúsítványforgás) 2025 novemberében kezdődött, és 2026 első negyedévében fejeződik be. Ha követte az ajánlott eljárásokat, akkor ez a módosítás nem igényel módosítást a környezetben.

Régi tanúsítványhatósági lánc

Ne használjon köztes hitelesítésszolgáltatókat vagy kiszolgálótanúsítványokat a megbízható legfelső szintű tárolóban.

• DigiCert Global Root G2
  • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
    • Kiszolgálói tanúsítvány

Új tanúsítvány-hitelesítési láncolat

Ne használjon köztes hitelesítésszolgáltatókat vagy kiszolgálótanúsítványokat a megbízható legfelső szintű tárolóban.

• DigiCert Global Root G2
  • Microsoft TLS RSA Root G2
    • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
      • Kiszolgálói tanúsítvány

Olvasási másolatok

A DigiCert globális gyökér CA-ról a DigiCert Global Root G2-be való átállás nem fejeződött be minden régióban. Ezért az újonnan létrehozott olvasási replikák az elsődleges kiszolgálónál újabb fő hitelesítésszolgáltatói tanúsítványt használhatnak. A DigiCert Global Root CA-t fel kell vennie az olvasási replikák megbízható tárolójába.

Tanúsítványláncok

A tanúsítványlánc a megbízható hitelesítésszolgáltatók (CA-k) által kibocsátott tanúsítványok hierarchikus sorozata. A lánc a legfelső szintű hitelesítésszolgáltatónál kezdődik, amely köztes hitelesítésszolgáltatói (ICA-) tanúsítványokat ad ki. Az ICA-k tanúsítványokat állíthatnak ki az alacsonyabb ICA-k számára. A lánc legalacsonyabb ICA-ja egyedi kiszolgálótanúsítványokat ad ki. A megbízhatósági láncot úgy hozhatja létre, hogy a láncban lévő összes tanúsítványt a legfelső szintű hitelesítésszolgáltatói tanúsítványig ellenőrzi.

A csatlakozási hibák csökkentése

Az ajánlott TLS-konfigurációk használata segít csökkenteni a tanúsítványváltások vagy a köztes hitelesítésszolgáltatók változásai miatti kapcsolathibák kockázatát. Különösen kerülje a köztes hitelesítésszolgáltatók vagy az egyes kiszolgálói tanúsítványok megbízhatóságát. Ezek a gyakorlatok váratlan csatlakozási problémákhoz vezethetnek, amikor a Microsoft frissíti a tanúsítványláncot.

Fontos

A Microsoft előre bejelenti a legfelső szintű hitelesítésszolgáltatók módosításait, hogy segítsen az ügyfélalkalmazások előkészítésében. A kiszolgálótanúsítványok rotációi és a köztes hitelesítésszolgáltatók módosításai azonban rutinszerűek, és nincsenek bejelentve.

Caution

A nem támogatott (ügyfél-) konfigurációk használata váratlan csatlakozási hibákat okoz.

Ajánlott konfigurációk a TLS-hez

Legjobb konfiguráció

• Kényszerítse ki a legújabb, legbiztonságosabb TLS-verziót a ssl_min_protocol_version kiszolgálóparaméter TLSv1.3beállításával.
• Használja a sslmode=verify-all kapcsolatokat a PostgreSQL esetében, hogy biztosítsa a tanúsítványok és állomásnevek teljes körű ellenőrzését. A privát végpontokkal vagy virtuális hálózati integrációval rendelkező DNS-konfigurációtól függően előfordulhat, verify-all hogy nem lehetséges. verify-ca Ezért használhatja helyette.
• Mindig tartsa karban az Azure-főtanúsítványok teljes készletét a megbízható legfelső szintű tárolóban.

Jó konfiguráció

• Állítsa be a ssl_min_protocol_version kiszolgálóparamétert a következőre TLSv1.3: . Ha támogatnia kell a TLS 1.2-t, ne állítsa be a minimális verziót.
• A PostgreSQL-kapcsolatok használata sslmode=verify-all vagy sslmode=verify-ca használata a teljes vagy részleges tanúsítvány-ellenőrzés biztosításához.
• Győződjön meg arról, hogy a megbízható legfelső szintű tároló tartalmazza az Azure Database for PostgreSQL által jelenleg használt legfelső szintű hitelesítésszolgáltatói tanúsítványt:
  • DigiCert Global Root G2
  • Microsoft RSA Root CA 2017

Támogatott, de nem ajánlott

Ne használja a következő konfigurációkat:

• A TLS letiltásához állítsa be require_secure_transport értékét OFF-re, valamint az ügyféloldalt sslmode=disable értékére.
• Használjon ügyféloldali sslmode beállításokat disable, allow, prefer vagy require, amelyek sebezhetővé tehetik az alkalmazást man-in-the-middle támadásokkal szemben.

Nem támogatott konfigurációk; nem használható

Az Azure PostgreSQL nem jelenti be a köztes hitelesítésszolgáltatói módosításokkal vagy az egyes kiszolgálói tanúsítványváltásokkal kapcsolatos változásokat. Ezért a következő konfigurációk nem támogatottak a sslmode, verify-ca vagy verify-all beállítások használata során:

• Köztes CA-tanúsítványok használata a megbízható tárolóhelyen.
• Tanúsítvány-rögzítéssel, például egyéni kiszolgálótanúsítványok használatával a megbízható tárolóban.

Caution

Az alkalmazások nem csatlakoznak az adatbázis-kiszolgálókhoz figyelmeztetés nélkül, amikor a Microsoft módosítja a tanúsítványlánc köztes hitelesítésszolgáltatóit, vagy elforgatja a kiszolgálótanúsítványt.

Tanúsítványrögzítési problémák

Megjegyzés:

A tanúsítványváltások nem érintik Önt, ha nem használja az sslmode=verify-full vagy a sslmode=verify-ca ügyfélalkalmazás kapcsolati sztringjének beállításait. Ezért nem kell követnie az ebben a szakaszban leírt lépéseket.

Soha ne használjon tanúsítvány-rögzítést az alkalmazásokban, mivel az megszakítja a tanúsítvány rotálását, például a köztes hitelesítésszolgáltatók aktuális tanúsítványváltozását. Ha nem tudja, mi a tanúsítvány rögzítése, nem valószínű, hogy használja. A tanúsítvány rögzítésének ellenőrzése:

• Készítse el a megbízható gyökértárban található tanúsítványok listáját.
  • Java-alkalmazások fő hitelesítésszolgáltatói tanúsítványainak egyesítése és frissítése.
  • Nyissa meg a megbízható legfelső szintű tárolót az ügyfélszámítógépen, és exportálja a tanúsítványok listáját.
• Tanúsítványrögzítést használ, ha köztes hitelesítésszolgáltatói vagy egyéni PostgreSQL-kiszolgálói tanúsítványokkal rendelkezik a megbízható legfelső szintű tárolóban.
• A tanúsítványrögzítés eltávolításához távolítsa el az összes tanúsítványt a megbízható legfelső szintű tárolóból, és adja hozzá az ajánlott legfelső szintű hitelesítésszolgáltatói tanúsítványokat.

Ha a köztes tanúsítvány miatt a fenti lépések elvégzése után is problémákat tapasztal, forduljon a Microsoft ügyfélszolgálatához. Tegye bele a címbe az ICA Rotáció 2026 szöveget.

A TLS egyéb szempontjai

Az alapvető TLS-konfiguráción és tanúsítványkezelésen túl számos más tényező is befolyásolja az Azure Database for PostgreSQL-hez való titkosított kapcsolatok biztonságát és viselkedését. Ezeknek a szempontoknak a megértése segít megalapozott döntéseket hozni a TLS környezetbeli implementációjáról.

Nem biztonságos és biztonságos TLS-verziók

Világszerte számos kormányzati entitás tart fenn irányelveket a TLS-hez a hálózatbiztonsággal kapcsolatban. Az Egyesült Államokban ezek a szervezetek közé tartozik az Egészségügyi és Humán Szolgáltatások Minisztériuma, valamint a Nemzeti Szabványügyi és Technológiai Intézet. A TLS által biztosított biztonsági szintet leginkább a TLS protokoll verziója és a támogatott titkosítási csomagok befolyásolják.

Az Azure Database for PostgreSQL támogatja a TLS 1.2-s és 1.3-s verzióját. Az RFC 8996-ban az Internet Engineering Task Force (IETF) kifejezetten kimondja, hogy a TLS 1.0 és a TLS 1.1 nem használható. 2019 végéig mindkét protokoll elavult. Alapértelmezés szerint minden bejövő kapcsolat, amely a TLS protokoll korábbi nem biztonságos verzióit használja, például a TLS 1.0 és a TLS 1.1, alapértelmezés szerint megtagadja.

Az IETF 2018 augusztusában adta ki a TLS 1.3 specifikációt az RFC 8446-ban, és a TLS 1.3 az ajánlott verzió, mivel gyorsabb és biztonságosabb, mint a TLS 1.2.

Bár nem javasoljuk, szükség esetén letilthatja a TLS-t az Azure Database for PostgreSQL-hez való kapcsolatokhoz. A kiszolgálóparamétert frissítheti a require_secure_transport következőre OFF: .

Fontos

Az adatbázis-kapcsolatok titkosításához használja a TLS 1.3 legújabb verzióját. A minimális TLS-verziót a kiszolgálóparaméter ssl_min_protocol_versionbeállításával TLSv1.3 adhatja meg. Ne állítsa be a kiszolgálóparamétert ssl_max_protocol_version .

Titkosítószettek

A titkosítási csomag olyan algoritmusok készlete, amelyek tartalmazzák a titkosítást, a kulcscserélő algoritmust és a kivonatoló algoritmust. A TLS-tanúsítvánnyal és a TLS-verzióval együtt használva biztonságos TLS-kapcsolatot hozhat létre. A legtöbb TLS-ügyfél és -kiszolgáló több titkosítási csomagot és néha több TLS-verziót is támogat. A kapcsolat létrehozása során az ügyfél és a kiszolgáló egy kézfogással egyezteti a TLS-verziót és a titkosítási csomagot. A kézfogás során a következő lépések történnek:

• Az ügyfél elküldi az elfogadható titkosítási csomagok listáját.
• A kiszolgáló kiválasztja a legjobb titkosítási csomagot a listából, és tájékoztatja az ügyfelet a választottról.

A TLS-funkciók nem érhetők el az Azure Database for PostgreSQL-ben

Az Azure Database for PostgreSQL jelenleg nem implementálja a következő TLS-funkciókat:

• TLS-tanúsítványalapú ügyfélhitelesítés a TLS-n keresztül kölcsönös hitelesítéssel (mTLS).
• Egyéni kiszolgálótanúsítványok (saját TLS-tanúsítványok használata).

Kapcsolódó tartalom

• TLS-ügyfélbeállítások konfigurálása az Azure Database for PostgreSQL-hez való csatlakozáshoz
• Ügyfélkonfiguráció ellenőrzése és a csatlakozási hibák elhárítása