Keamanan Lapisan Transportasi dan sertifikat digital
Artikel ini menjelaskan detail tentang protokol Keamanan Lapisan Transportasi (TLS) dan sertifikat digital.
Keamanan Lapisan Transportasi (TLS)
Protokol TLS dan SSL terletak di antara lapisan protokol aplikasi dan lapisan TCP/IP, di mana mereka dapat mengamankan dan mengirim data aplikasi ke lapisan transportasi. Protokol TLS/SSL menggunakan algoritma dari cipher suite untuk membuat kunci dan mengenkripsi informasi. Klien dan server menegosiasikan versi protokol dan cipher suite yang akan digunakan untuk enkripsi selama fase koneksi awal (pra-masuk) pembentukan koneksi. Versi TLS tertinggi yang didukung selalu disukai dalam jabat tangan TLS. Untuk memeriksa versi protokol TLS yang didukung oleh versi sistem operasi Windows yang berbeda, lihat Protokol di TLS/SSL (Schannel SSP). Beberapa kerentanan yang diketahui telah dilaporkan terhadap SSL dan versi TLS yang lebih lama. Kami menyarankan agar Anda meningkatkan ke TLS 1.2 untuk komunikasi yang aman.
SQL Server dapat menggunakan TLS untuk mengenkripsi data yang dikirimkan di seluruh jaringan antara instans SQL Server dan aplikasi klien. TLS menggunakan sertifikat untuk menerapkan enkripsi.
Mengaktifkan enkripsi TLS akan meningkatkan keamanan data yang ditransmisikan di seluruh jaringan antara instans SQL Server dan aplikasi. Namun, ketika semua lalu lintas antara SQL Server dan aplikasi klien dienkripsi dengan menggunakan TLS, pemrosesan tambahan berikut diperlukan:
- Pulang-pergi jaringan tambahan diperlukan pada waktu sambungkan.
- Paket yang dikirim dari aplikasi ke instans SQL Server harus dienkripsi oleh tumpukan TLS klien dan didekripsi oleh tumpukan TLS server.
- Paket yang dikirim dari instans SQL Server ke aplikasi harus dienkripsi oleh tumpukan TLS server dan didekripsi oleh tumpukan TLS klien.
Penting
Dimulai dengan SQL Server 2016 (13.x), Secure Sockets Layer (SSL) telah dihentikan. Gunakan TLS (TLS 1.2 disarankan) sebagai gantinya. Untuk informasi selengkapnya, tinjau KB3135244 - dukungan TLS 1.2 untuk Microsoft SQL Server. SQL Server 2022 memperkenalkan dukungan untuk TLS 1.3. Untuk informasi selengkapnya, lihat dukungan TLS 1.3. Jika tidak ada protokol yang cocok antara klien dan komputer server, Anda dapat mengalami kesalahan yang dijelaskan dalam Koneksi yang ada ditutup secara paksa oleh host jarak jauh.
Gambaran umum sertifikat digital
Sertifikat digital adalah file elektronik yang berfungsi seperti kata sandi online untuk memverifikasi identitas pengguna atau komputer. Mereka digunakan untuk membuat saluran terenkripsi yang digunakan untuk komunikasi klien. Sertifikat adalah pernyataan digital yang dikeluarkan oleh otoritas sertifikasi (CA) yang menjamin identitas pemegang sertifikat dan memungkinkan para pihak untuk berkomunikasi dengan aman dengan menggunakan enkripsi.
Sertifikat digital menyediakan layanan berikut:
- Enkripsi: Mereka membantu melindungi data yang ditukar dari pencurian atau perubahan.
- Autentikasi: Mereka memverifikasi bahwa pemegang mereka (orang, situs web, dan bahkan perangkat jaringan seperti router) benar-benar siapa atau apa yang mereka klaim. Biasanya, autentikasi adalah satu arah, di mana sumber memverifikasi identitas target, tetapi autentikasi TLS bersama juga dimungkinkan.
Sertifikat berisi kunci publik dan melampirkan kunci publik tersebut ke identitas seseorang, komputer, atau layanan yang menyimpan kunci privat yang sesuai. Kunci publik dan privat digunakan oleh klien dan server untuk mengenkripsi data sebelum dikirimkan. Untuk pengguna, komputer, dan layanan Windows, kepercayaan pada CA ditetapkan ketika sertifikat akar ditentukan dalam penyimpanan sertifikat akar tepercaya, dan sertifikat berisi jalur sertifikasi yang valid. Sertifikat dianggap valid jika belum dicabut (tidak ada dalam daftar pencabutan sertifikat CA atau CRL) atau kedaluwarsa.
Tiga jenis utama sertifikat digital dijelaskan dalam tabel berikut:
| Tipe | Deskripsi | Kelebihan | Kerugian |
|---|---|---|---|
| Sertifikat yang ditandatangani sendiri | Sertifikat ditandatangani oleh aplikasi yang membuatnya atau dibuat dengan menggunakan New-SelfSignedCertificate. | Biaya (gratis) | - Sertifikat tidak secara otomatis dipercaya oleh komputer klien dan perangkat seluler. Sertifikat perlu ditambahkan secara manual ke penyimpanan sertifikat akar tepercaya di semua komputer dan perangkat klien, tetapi tidak semua perangkat seluler mengizinkan perubahan pada penyimpanan sertifikat akar tepercaya. - Tidak semua layanan bekerja dengan sertifikat yang ditandatangani sendiri. - Sulit untuk membangun infrastruktur untuk manajemen siklus hidup sertifikat. Misalnya, sertifikat yang ditandatangani sendiri tidak dapat dicabut. |
| Sertifikat yang dikeluarkan oleh CA internal | Sertifikat dikeluarkan oleh infrastruktur kunci publik (PKI) di organisasi Anda. Contohnya adalah Layanan Sertifikat Direktori Aktif (AD CS). Untuk informasi selengkapnya, lihat Gambaran Umum Layanan Sertifikat Direktori Aktif. | - Memungkinkan organisasi untuk mengeluarkan sertifikat mereka sendiri. - Lebih murah daripada sertifikat dari CA komersial. |
- Peningkatan kompleksitas untuk menyebarkan dan memelihara PKI. - Sertifikat tidak secara otomatis dipercaya oleh komputer klien dan perangkat seluler. Sertifikat perlu ditambahkan secara manual ke penyimpanan sertifikat akar tepercaya di semua komputer dan perangkat klien, tetapi tidak semua perangkat seluler mengizinkan perubahan pada penyimpanan sertifikat akar tepercaya. |
| Sertifikat yang dikeluarkan oleh CA komersial | Sertifikat dibeli dari CA komersial tepercaya. | Penyebaran sertifikat disederhanakan karena semua klien, perangkat, dan server secara otomatis mempercayai sertifikat. | Biaya. Anda perlu merencanakan ke depan untuk meminimalkan jumlah sertifikat yang diperlukan. |
Untuk membuktikan bahwa pemegang sertifikat adalah siapa yang mereka klaim, sertifikat harus secara akurat mengidentifikasi pemegang sertifikat kepada klien, perangkat, atau server lain. Tiga metode dasar untuk melakukan ini dijelaskan dalam tabel berikut:
| Metode | Deskripsi | Kelebihan | Kerugian |
|---|---|---|---|
| Kecocokan subjek sertifikat | Bidang Subjek sertifikat berisi nama umum (CN) host. Misalnya, sertifikat yang dikeluarkan untuk www.contoso.com dapat digunakan untuk situs https://www.contoso.comweb . |
- Kompatibel dengan semua klien, perangkat, dan layanan. - Kompartemenalisasi. Mencabut sertifikat untuk host tidak memengaruhi host lain. |
- Jumlah sertifikat yang diperlukan. Anda hanya dapat menggunakan sertifikat untuk host yang ditentukan. Misalnya, Anda tidak dapat menggunakan www.contoso.com sertifikat untuk ftp.contoso.com, bahkan ketika layanan diinstal di server yang sama.-Kompleksitas. Di server web, setiap sertifikat memerlukan pengikatan alamat IP-nya sendiri. |
| Kecocokan nama alternatif subjek sertifikat (SAN) | Selain bidang Subjek, bidang Nama Alternatif Subjek sertifikat berisi daftar beberapa nama host. Contohnya:www.contoso.comftp.contoso.comftp.eu.fabirkam.net |
-Kenyamanan. Anda dapat menggunakan sertifikat yang sama untuk beberapa host di beberapa domain terpisah. - Sebagian besar klien, perangkat, dan layanan mendukung sertifikat SAN. - Audit dan keamanan. Anda tahu persis host mana yang mampu menggunakan sertifikat SAN. |
- Diperlukan lebih banyak perencanaan. Anda perlu memberikan daftar host saat membuat sertifikat. - Kurangnya kompartementalisasi. Anda tidak dapat secara selektif mencabut sertifikat untuk beberapa host yang ditentukan tanpa memengaruhi semua host dalam sertifikat. |
| Sertifikat kartubebas cocok | Bidang Subjek sertifikat berisi nama umum sebagai karakter kartubebas (*) ditambah satu domain atau subdomain. Misalnya, *.contoso.com atau *.eu.contoso.com. Sertifikat *.contoso.com kartubebas dapat digunakan untuk:www.contoso.comftp.contoso.commail.contoso.com |
Fleksibilitas. Anda tidak perlu memberikan daftar host saat meminta sertifikat, dan Anda dapat menggunakan sertifikat pada sejumlah host yang mungkin Anda butuhkan di masa mendatang. | - Anda tidak dapat menggunakan sertifikat kartubebas dengan domain tingkat atas (TLD) lainnya. Misalnya, Anda tidak dapat menggunakan *.contoso.com sertifikat wildcard untuk *.contoso.net host.- Anda hanya dapat menggunakan sertifikat kartubebas untuk nama host pada tingkat kartubebas. Misalnya, Anda tidak dapat menggunakan *.contoso.com sertifikat untuk www.eu.contoso.com. Atau, Anda tidak dapat menggunakan *.eu.contoso.com sertifikat untuk www.uk.eu.contoso.com.- Klien, perangkat, aplikasi, atau layanan yang lebih lama mungkin tidak mendukung sertifikat kartubebas. - Kartubebas tidak tersedia dengan sertifikat Extended Validation (EV). - Diperlukan audit dan kontrol yang cermat. Jika sertifikat wildcard disusupi, sertifikat tersebut memengaruhi setiap host di domain yang ditentukan. |
Konten terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk