Bagikan melalui

Keamanan Lapisan Transportasi (TLS) di Azure Database for PostgreSQL

Azure Database for PostgreSQL mengharuskan semua koneksi klien menggunakan Keamanan Lapisan Transportasi (TLS), protokol standar industri yang mengenkripsi komunikasi antara server database dan aplikasi klien Anda. TLS menggantikan protokol SSL yang lebih lama, dengan hanya TLS versi 1.2 dan 1.3 yang diakui sebagai aman. Integritas keamanan TLS bergantung pada tiga pilar:

  • Hanya menggunakan TLS versi 1.2 atau 1.3.
  • Klien memvalidasi sertifikat TLS server yang dikeluarkan oleh Otoritas Sertifikat (CA) dalam rantai CA yang dimulai oleh CA akar tepercaya.
  • Menegosiasikan rangkaian sandi yang aman antara server dan klien.

Sertifikat akar tepercaya dan rotasi sertifikat

Penting

Microsoft memulai rotasi sertifikat TLS untuk Azure Database for PostgreSQL untuk memperbarui sertifikat CA menengah dan rantai sertifikat yang dihasilkan. CA akar tetap sama.

Jika konfigurasi klien Anda menggunakan konfigurasi yang Direkomendasikan untuk TLS, Anda tidak perlu mengambil tindakan apa pun.

Jadwal rotasi sertifikat menengah:

  • Pembaruan untuk wilayah Azure US Tengah Barat dan Asia Timur selesai.
  • Pembaruan untuk wilayah Pemerintah Inggris Selatan dan AS dimulai pada 21 Januari 2026.
  • Pembaruan untuk AS Tengah dimulai pada 26 Januari 2026.
  • Pembaruan untuk semua wilayah lain dimulai pada 28 Januari 2026.
  • Setelah Festival Musim Semi (Tahun Baru Cina) 2026, wilayah Tiongkok juga akan menjalani rotasi sertifikat yang mencakup perubahan pada salah satu CA akar.

Sertifikat CA akar yang digunakan oleh Azure Database untuk PostgreSQL

CA Root adalah otoritas tingkat atas dalam rantai sertifikat. Azure Database for PostgreSQL saat ini menggunakan sertifikat bertanda tangan ganda yang dikeluarkan oleh CA menengah (ICA) yang berlabuh oleh CA akar berikut:

Wilayah Tiongkok saat ini menggunakan CA berikut:

CA perantara

Azure Database for PostgreSQL menggunakan CA perantara (ICAs) untuk menerbitkan sertifikat server. Untuk menjaga keamanan, Microsoft secara berkala memperbarui ICAs ini dan sertifikat server yang dikeluarkannya. Rotasi ini bersifat rutin dan tidak diumumkan sebelumnya.

Rotasi CA perantara saat ini untuk DigiCert Global Root CA (lihat Rotasi sertifikat) dimulai pada November 2025 dan dijadwalkan selesai pada kuartal pertama 2026. Jika Anda mengikuti praktik yang direkomendasikan, perubahan ini tidak memerlukan perubahan di lingkungan Anda.

Rantai CA lama

Jangan gunakan CA perantara atau sertifikat server di penyimpanan akar tepercaya Anda.

  • DigiCert Global Root G2
    • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
      • Sertifikat server

Rantai CA baru

Jangan gunakan CA perantara atau sertifikat server di penyimpanan akar tepercaya Anda.

  • DigiCert Global Root G2
    • Microsoft TLS RSA Root G2
      • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
        • Sertifikat server

Replika Pembacaan

Migrasi CA akar dari DIgiCert Global Root CA ke DigiCert Global Root G2 tidak selesai di semua wilayah. Oleh karena itu, dimungkinkan bagi replika baca yang baru dibuat untuk menggunakan sertifikat OS akar yang lebih baru daripada server utama. Anda harus menambahkan DigiCert Global Root CA ke penyimpanan tepercaya replika baca.

Rantai sertifikat

Rantai sertifikat adalah urutan hierarkis sertifikat yang dikeluarkan oleh Otoritas Sertifikat (CA) tepercaya. Rantai dimulai dari CA induk, yang menerbitkan sertifikat CA perantara (ICA). ICA dapat menerbitkan sertifikat untuk ICA yang lebih rendah. ICA terendah dalam rantai mengeluarkan sertifikat server individual. Anda menetapkan rantai kepercayaan dengan memverifikasi setiap sertifikat dalam rantai hingga sertifikat OS akar.

Mengurangi kegagalan koneksi

Menggunakan konfigurasi TLS yang direkomendasikan membantu mengurangi risiko kegagalan koneksi karena rotasi sertifikat atau perubahan CA perantara. Secara khusus, hindari mempercayai CA Perantara atau sertifikat server individual. Praktik ini dapat menyebabkan masalah koneksi yang tidak terduga saat Microsoft memperbarui rantai sertifikat.

Penting

Microsoft mengumumkan perubahan dalam CA root sebelumnya untuk membantu Anda menyiapkan aplikasi klien Anda. Namun, rotasi sertifikat server dan perubahan pada CA perantara bersifat rutin dan tidak diumumkan.

Perhatian

Menggunakan konfigurasi (klien) yang tidak didukung menyebabkan kegagalan koneksi yang tidak terduga.

Konfigurasi terbaik

  • Terapkan versi TLS terbaru yang paling aman dengan mengatur ssl_min_protocol_version parameter server ke TLSv1.3.
  • Gunakan sslmode=verify-all untuk koneksi PostgreSQL untuk memastikan sertifikat lengkap dan verifikasi nama host. Bergantung pada konfigurasi DNS Anda dengan Titik Akhir Privat atau integrasi jaringan virtual, verify-all mungkin tidak dimungkinkan. Oleh karena itu, Anda dapat menggunakan verify-ca sebagai gantinya.
  • Selalu pertahankan kumpulan lengkap sertifikat akar Azure di penyimpanan akar tepercaya Anda.

Konfigurasi yang baik

  • Atur server parameter ssl_min_protocol_version ke TLSv1.3. Jika Anda harus mendukung TLS 1.2, jangan atur versi minimal.
  • Gunakan sslmode=verify-all atau sslmode=verify-ca untuk koneksi PostgreSQL untuk memastikan verifikasi sertifikat penuh atau parsial.
  • Pastikan bahwa penyimpanan akar tepercaya berisi sertifikat root CA yang saat ini digunakan oleh Azure Database for PostgreSQL.

Jangan gunakan konfigurasi berikut:

  • Nonaktifkan TLS dengan mengatur require_secure_transport ke OFF dan mengatur sisi klien ke sslmode=disable.
  • Gunakan pengaturan sisi sslmode klien, disable, allow, atau prefer yang dapat membuat aplikasi Anda rentan terhadap serangan man-in-the-middle.

Konfigurasi yang tidak didukung; jangan gunakan

Azure PostgreSQL tidak mengumumkan perubahan tentang perubahan CA menengah atau rotasi sertifikat server individual. Oleh karena itu, konfigurasi berikut tidak didukung saat menggunakan sslmode pengaturan verify-ca atau verify-all:

  • Menggunakan sertifikat CA perantara di penyimpanan tepercaya Anda.
  • Menggunakan penyematan sertifikat, seperti, menggunakan sertifikat server individual di penyimpanan tepercaya Anda.

Perhatian

Aplikasi Anda gagal terhubung ke server database tanpa peringatan setiap kali Microsoft mengubah CA perantara rantai sertifikat atau memutar sertifikat server.

Masalah penyematan sertifikat

Nota

Rotasi sertifikat tidak memengaruhi Anda jika Anda tidak menggunakan pengaturan sslmode=verify-full atau sslmode=verify-ca dalam string koneksi aplikasi klien Anda. Oleh karena itu, Anda tidak perlu mengikuti langkah-langkah di bagian ini.

Jangan pernah menggunakan pinning sertifikat di aplikasi Anda karena dapat memutus rotasi sertifikat, seperti perubahan sertifikat terkini dari CA Menengah. Jika Anda tidak tahu apa itu penyematan sertifikat, kemungkinan besar Anda tidak menggunakannya. Untuk memeriksa penyematan sertifikat:

  • Buat daftar sertifikat yang ada di root store tepercaya Anda.
  • Anda menggunakan penyematan sertifikat jika Anda memiliki sertifikat OS perantara atau sertifikat server PostgreSQL individual di penyimpanan akar tepercaya Anda.
  • Untuk menghapus penyematan sertifikat, hapus semua sertifikat dari penyimpanan root tepercaya Anda dan tambahkan sertifikat root CA yang direkomendasikan.

Jika Anda mengalami masalah karena sertifikat perantara bahkan setelah mengikuti langkah-langkah ini, hubungi dukungan Microsoft. Masukkan Rotasi ICA 2026 dalam judul.

Pertimbangan lain untuk TLS

Di luar konfigurasi TLS inti dan manajemen sertifikat, beberapa faktor lain memengaruhi keamanan dan perilaku koneksi terenkripsi ke Azure Database for PostgreSQL. Memahami pertimbangan ini membantu Anda membuat keputusan berdasarkan informasi tentang implementasi TLS di lingkungan Anda.

Penting

Azure Database for PostgreSQL tidak mendukung autentikasi sertifikat klien TLS (TLS bersama). Jangan sertakan parameter sertifikat klien (sslcert, sslkey) dalam string koneksi Anda karena tidak didukung dan dapat menyebabkan masalah koneksi.

Versi TLS aman dan tidak aman

Beberapa entitas pemerintah di seluruh dunia mempertahankan pedoman untuk TLS mengenai keamanan jaringan. Di Amerika Serikat, organisasi-organisasi ini termasuk Departemen Kesehatan dan Layanan Manusia dan Institut Standar dan Teknologi Nasional. Tingkat keamanan yang disediakan TLS paling dipengaruhi oleh versi protokol TLS dan suite sandi yang didukung.

Azure Database for PostgreSQL mendukung TLS versi 1.2 dan 1.3. Dalam RFC 8996, Internet Engineering Task Force (IETF) secara eksplisit menyatakan bahwa TLS 1.0 dan TLS 1.1 tidak boleh digunakan. Kedua protokol tidak digunakan lagi pada akhir 2019. Semua koneksi masuk yang menggunakan versi protokol TLS yang tidak aman sebelumnya, seperti TLS 1.0 dan TLS 1.1, ditolak secara default.

IETF merilis spesifikasi TLS 1.3 di RFC 8446 pada Agustus 2018, dan TLS 1.3 adalah versi yang direkomendasikan karena lebih cepat dan lebih aman daripada TLS 1.2.

Meskipun kami tidak merekomendasikannya, jika diperlukan, Anda dapat menonaktifkan TLS untuk koneksi ke Azure Database for PostgreSQL Anda. Anda dapat memperbarui require_secure_transport parameter server ke OFF.

Penting

Gunakan versi terbaru TLS 1.3 untuk mengenkripsi koneksi database Anda. Anda dapat menentukan versi TLS minimal dengan mengatur ssl_min_protocol_version parameter server ke TLSv1.3. Jangan atur parameter server ssl_max_protocol_version.

Kumpulan cipher

Suite sandi adalah sekumpulan algoritma yang mencakup sandi, algoritma pertukaran kunci, dan algoritma hash. Gunakan bersama dengan sertifikat TLS dan versi TLS untuk membuat koneksi TLS yang aman. Sebagian besar klien dan server TLS mendukung beberapa cipher suite dan terkadang beberapa versi TLS. Selama pembentukan koneksi, klien dan server menegosiasikan versi TLS dan cipher suite untuk digunakan melalui jabat tangan. Selama jabat tangan ini, langkah-langkah berikut terjadi:

  • Klien mengirimkan daftar suite sandi yang dapat diterima.
  • Server memilih cipher suite terbaik dari daftar dan memberi tahu klien pilihan.

Fitur TLS tidak tersedia di Azure Database for PostgreSQL

Saat ini, Azure Database for PostgreSQL tidak menerapkan fitur TLS berikut:

  • Autentikasi klien berbasis sertifikat TLS melalui TLS dengan autentikasi bersama (mTLS).
  • Sertifikat server kustom (bawa sertifikat TLS Anda sendiri).

Konten terkait

  • Last updated on