Memahami perubahan OS Akar untuk Azure SQL Database & SQL Managed Instance
Azure SQL Database &SQL Managed Instance akan mengubah sertifikat akar untuk aplikasi/driver klien yang diaktifkan dengan Secured Sockets Layer (SSL) atau Transport Layer Security (TLS), yang digunakan untuk membuat koneksi TDS yang aman. Sertifikat akar saat ini diatur untuk kedaluwarsa 26 Oktober 2020 sebagai bagian dari pemeliharaan standar dan praktik terbaik keamanan. Artikel ini memberi Anda detail selengkapnya tentang perubahan yang akan datang, sumber daya yang akan terpengaruh, dan langkah-langkah yang diperlukan untuk memastikan bahwa aplikasi Anda mempertahankan konektivitas ke server database Anda.
Pembaruan apa yang akan terjadi?
Forum Browser Otoritas Sertifikasi (OS) baru-baru ini menerbitkan laporan beberapa sertifikat yang dikeluarkan oleh vendor OS yang tidak patuh.
Sesuai persyaratan kepatuhan industri, vendor OS mulai mencabut sertifikat OS untuk OS yang tidak patuh, mengharuskan server untuk menggunakan sertifikat yang dikeluarkan oleh OS yang patuh, dan ditandatangani oleh sertifikat OS dari OS yang patuh. Karena Azure SQL Database & SQL Managed Instance saat ini menggunakan salah satu sertifikat yang tidak patuh ini, aplikasi klien mana yang digunakan untuk memvalidasi koneksi TLS mereka, kami perlu memastikan bahwa tindakan yang sesuai diambil (dijelaskan di bawah) untuk meminimalkan dampak potensial ke server Azure SQL Anda.
Sertifikat baru akan digunakan mulai 26 Oktober 2020. Jika Anda menggunakan validasi penuh sertifikat server saat menyambungkan dari klien SQL (TrustServerCertificate=false), Anda perlu memastikan bahwa klien SQL Anda akan dapat memvalidasi sertifikat akar baru sebelum 26 Oktober 2020.
Bagaimana cara mengetahui apakah aplikasi saya mungkin terpengaruh?
Semua aplikasi yang menggunakan SSL/TLS dan memverifikasi sertifikat akar perlu memperbarui sertifikat akar untuk menyambungkan ke Azure SQL Database & Azure SQL Managed Instance.
Jika Saat ini Anda tidak menggunakan SSL/TLS, tidak ada dampak terhadap ketersediaan aplikasi Anda. Anda dapat memverifikasi apakah aplikasi klien Anda mencoba memverifikasi sertifikat akar dengan melihat string koneksi. Jika TrustServerCertificate secara eksplisit diatur ke true, maka Anda tidak terpengaruh.
Jika driver klien Anda menggunakan penyimpanan sertifikat OS, seperti yang dilakukan sebagian besar driver, dan OS Anda dijaga secara teratur, perubahan ini kemungkinan besar tidak akan memengaruhi Anda, karena sertifikat akar yang kami alihkan seharusnya sudah tersedia di Penyimpanan Sertifikat Akar Tepercaya Anda. Periksa Baltimore CyberTrust Root dan DigiCert GlobalRoot G2 Root, dan validasi ada.
Jika driver klien Anda menggunakan penyimpanan sertifikat file lokal, untuk menghindari ketersediaan aplikasi Anda terganggu karena sertifikat dicabut secara tiba-tiba, atau untuk memperbarui sertifikat, yang telah dicabut, lihat bagian Apa yang perlu saya lakukan untuk mempertahankan konektivitas.
Apa yang perlu saya lakukan untuk mempertahankan konektivitas
Untuk menghindari ketersediaan aplikasi Anda terganggu karena sertifikat dicabut secara tidak terduga, atau untuk memperbarui sertifikat yang telah dicabut, ikuti langkah-langkah berikut:
Unduh Baltimore CyberTrust Root & DigiCert GlobalRoot G2 Root CA:
Buat simpanan sertifikat CA gabungan dengan BaltimoreCyberTrustRoot dan disertakan sertifikat DigiCertGlobalRootG2.
Apa dampaknya?
Jika Anda memvalidasi sertifikat server seperti yang didokumen di sini, ketersediaan aplikasi Anda mungkin terganggu karena database tidak dapat dijangkau. Bergantung pada aplikasi, Anda dapat menerima berbagai pesan kesalahan, termasuk tetapi tidak terbatas pada:
- Sertifikat tidak valid/sertifikat yang dicabut
- Waktu sambungan habis
- Kesalahan jika berlaku
Pertanyaan yang Sering Ditanyakan
Jika saya tidak menggunakan SSL/TLS, apakah saya masih perlu memperbarui OS akar?
Tidak ada tindakan mengenai perubahan ini yang diperlukan jika Anda tidak menggunakan SSL/TLS. Tetap saja Anda harus mengatur rencana untuk mulai menggunakan versi TLS terbaru saat kami merencanakan pemberlakuan TLS dalam waktu dekat.
Apa yang akan terjadi jika saya tidak memperbarui sertifikat akar sebelum 26 Oktober 2020?
Jika Anda tidak memperbarui sertifikat akar sebelum 30 November 2020, aplikasi Anda yang terhubung melalui SSL/TLS dan melakukan verifikasi untuk sertifikat akar tidak akan dapat berkomunikasi ke Azure SQL Database & SQL Managed Instance dan aplikasi akan mengalami masalah konektivitas ke Azure SQL Database & SQL Managed Instance Anda.
Apakah saya perlu merencanakan waktu henti pemeliharaan untuk perubahan ini?
Tidak. Karena perubahan hanya ada di sisi klien untuk terhubung ke server, tidak ada waktu henti pemeliharaan yang diperlukan di sini untuk perubahan ini.
Bagaimana jika saya tidak bisa mendapatkan waktu henti terjadwal untuk perubahan ini sebelum 26 Oktober 2020?
Karena klien yang digunakan untuk menyambungkan ke server perlu memperbarui informasi sertifikat seperti yang dijelaskan di bagian perbaikan di sini, kita tidak perlu waktu henti untuk server dalam hal ini.
Jika saya membuat server baru setelah 30 November 2020, apakah saya akan terpengaruh?
Untuk server yang dibuat setelah 26 Oktober 2020, Anda dapat menggunakan sertifikat yang baru diterbitkan untuk aplikasi Anda agar terhubung menggunakan SSL/TLS.
Seberapa sering Microsoft memperbarui sertifikatnya atau apa kebijakan kedaluwarsanya?
Sertifikat yang digunakan oleh Azure SQL Database & SQL Managed Instance disediakan oleh Otoritas Sertifikasi (OS) tepercaya. Jadi dukungan sertifikat ini pada Azure SQL Database & SQL Managed Instance terkait dengan dukungan sertifikat ini oleh OS. Namun, seperti dalam kasus ini, mungkin ada bug yang tidak terduga dalam sertifikat yang telah ditentukan ini, yang perlu diperbaiki paling awal.
Jika saya menggunakan replika baca, apakah saya perlu melakukan pembaruan ini hanya di server utama atau semua replika baca?
Karena pembaruan ini adalah perubahan sisi klien, jika klien yang digunakan untuk membaca data dari server replika, kita juga perlu menerapkan perubahan untuk klien tersebut.
Apakah kita memiliki kueri sisi server untuk memverifikasi apakah SSL/TLS sedang digunakan?
Karena konfigurasi ini berdasarkan klien, informasi tidak tersedia di sisi server.
Bagaimana jika saya memiliki pertanyaan lain?
Jika Anda memiliki rencana dukungan dan memerlukan bantuan teknis, buat permintaan dukungan Azure, lihat Cara membuat permintaan dukungan Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk