Dukungan TLS 1.3

Berlaku untuk: SQL Server 2022 (16.x) dan versi yang lebih baru database Azure SQL DatabaseAzure SQL Managed InstanceSQL di Microsoft Fabric

SQL Server (Dimulai dengan SQL Server 2022 (16.x)), Azure SQL Database, dan Azure SQL Managed Instance mendukung Keamanan Lapisan Transportasi (TLS) 1.3 saat Aliran Data Tabular (TDS) 8.0 digunakan.

Penting

Bahkan dengan dukungan TLS 1.3 untuk koneksi TDS, TLS 1.2 masih diperlukan untuk memulai layanan satelit SQL Server. Jangan nonaktifkan TLS 1.2 pada komputer.

SQL Server 2019 (15.x) dan versi yang lebih lama tidak mendukung TLS 1.3.

Perbedaan antara TLS 1.2 dan TLS 1.3

TLS 1.3 mengurangi jumlah perjalanan pulang pergi dari dua menjadi satu selama fase jabat tangan, membuatnya lebih cepat dan lebih aman daripada TLS 1.2. Paket hello server yang berisi sertifikat server dienkripsi dan satu penerbitan ulang Round Trip Time (1-RTT) dihentikan, dan diganti dengan 0-RTT dimulai kembali berdasarkan berbagi kunci klien. Keamanan tambahan TLS 1.3 berasal dari penghentian cypher dan algoritma tertentu.

Berikut adalah daftar algoritma dan sandi yang dihapus di TLS 1.3:

• Cipher aliran RC4
• Pertukaran kunci RSA
• Fungsi hash SHA-1
• Cipher mode CBC (blok)
• Algoritma MD5
• Berbagai grup Diffie-Hellman tidak sementara
• Cipher kekuatan EKSPOR
• DES
• 3DES

Dukungan driver

Tinjau matriks dukungan fitur Driver untuk menentukan driver apa yang saat ini mendukung TLS 1.3.

Dukungan sistem operasi

Saat ini, sistem operasi berikut mendukung TLS 1.3:

• Windows 11
• Windows Server 2022

Dukungan SQL Server 2025

SQL Server 2025 (17.x) memperkenalkan dukungan TLS 1.3 untuk fitur-fitur berikut:

• SQL Server Agent
• Grup ketersediaan AlwaysOn
• Instans kluster failover AlwaysOn (FCI)
• Server tertaut
• Replikasi transaksional
• Menggabungkan replikasi
• Replikasi rekam jepret
• Pengiriman log
• Email Database

Batasan penyiapan

Penyiapan SQL Server 2025 gagal ketika TLS 1.3 adalah satu-satunya versi TLS yang diaktifkan pada sistem operasi. Proses penyiapan mengharuskan TLS 1.2 tersedia selama penginstalan. Setelah penyiapan selesai, TLS 1.2 dapat dinonaktifkan jika diinginkan.

Pesan kesalahan selama penyiapan adalah: A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)

Persyaratan sertifikat

Saat menggunakan TDS 8.0 dengan SQL Server 2025, persyaratan sertifikat tertentu harus dipenuhi:

• Sertifikat tepercaya: Sertifikat harus dikeluarkan oleh Otoritas Sertifikat (CA) tepercaya. Sertifikat yang ditandatangani sendiri tidak lagi diterima secara default dengan Driver Microsoft OLE DB untuk SQL Server versi 19.
• Validasi sertifikat: TrustServerCertificate harus diatur ke False atau No. Driver Microsoft OLE DB untuk SQL Server versi 19 memvalidasi rantai kepercayaan sertifikat dan validasi sertifikat tidak dapat dilewati.
• Persyaratan Nama Alternatif Subjek (SAN): Sertifikat harus menyertakan nama domain yang sepenuhnya memenuhi syarat (FQDN) dan nama Netbios dalam daftar SAN. SQL Server Management Studio (SSMS) sering menggunakan nama Netbios saat menyambungkan, dan entri yang hilang akan menyebabkan kesalahan validasi.
• Merencanakan entri SAN: Sertakan semua kemungkinan nama koneksi klien (FQDN, nama Netbios, alias layanan) selama penerbitan sertifikat. Menambahkan nama nanti memerlukan pembuatan sertifikat baru dan memulai ulang instans SQL Server.

Untuk informasi selengkapnya tentang validasi sertifikat, lihat Enkripsi dan validasi sertifikat - Driver OLE DB untuk SQL Server.

Konfigurasi aman secara default di SQL Server 2025

SQL Server 2025 memperkenalkan konfigurasi aman secara default untuk beberapa fitur yang sekarang menggunakan TDS 8.0 dengan enkripsi diaktifkan secara default:

• SQL Server Agent: Menggunakan Driver Microsoft OLE DB untuk SQL Server versi 19 dengan Encrypt=Mandatory dan memerlukan sertifikat server yang valid dengan TrustServerCertificate=False. Ketika satu-satunya versi TLS yang diaktifkan adalah TLS 1.3, Anda harus mengonfigurasi Encrypt=Strict (Force Strict Encryption).

• Grup ketersediaan Always On dan FCI: Menggunakan ODBC Driver untuk SQL Server versi 18 secara default. Tidak seperti fitur lain, grup ketersediaan Always On dan FCI memungkinkan TrustServerCertificate=True untuk skenario sertifikat ditandatangani sendiri.

• Server tertaut: Menggunakan Driver Microsoft OLE DB untuk SQL Server versi 19 dengan Encrypt=Mandatory secara default. Parameter enkripsi harus ditentukan dalam string koneksi saat menargetkan instans SQL Server lain.

• Pengiriman log: Menggunakan Driver Microsoft OLE DB untuk SQL Server versi 19 dengan Encrypt=Mandatory dan memerlukan sertifikat server yang valid. Saat melakukan peningkatan di tempat dari versi yang lebih rendah, yang tidak mendukung konfigurasi keamanan terbaru, jika pengaturan enkripsi tidak secara eksplisit ditimpa dengan opsi yang lebih aman, pengiriman log akan menggunakan TrustServerCertificate=True demi mendukung kompatibilitas mundur. Untuk memberlakukan TLS 1.3 dan Encrypt=Strict dengan TDS 8.0 setelah meningkatkan, hilangkan dan buat ulang topologi dengan parameter yang diperbarui dalam prosedur pengiriman log yang disimpan.

• Replikasi: (Transaksional, Rekam Jepret, Penggabungan) Menggunakan Driver Microsoft OLE DB untuk SQL Server versi 19 dengan Encrypt=Mandatory dan memerlukan sertifikat yang valid dengan TrustServerCertificate=False.

• Email Database: Pengaturan default adalah Encrypt=Optional dan TrustServerCertificate=True. Ketika TLS 1.3 diberlakukan, nilai-nilai ini berubah menjadi Encrypt=Strict dan TrustServerCertificate=False. Secara default, Azure SQL Managed Instance menggunakan protokol TLS 1.3.

• PolyBase: Menggunakan Driver ODBC untuk SQL Server versi 18 dengan Encrypt=Yes (Mandatory). PolyBase memungkinkan penggunaan sertifikat yang ditandatangani sendiri TrustServerCertificate=True.

• Penulis VSS SQL: Saat menyambungkan ke instans SQL Server 2025 dengan Encryption=Strict, SQL VSS Writer akan menggunakan TLS 1.3 dan TDS 8.0 untuk bagian Antarmuka Perangkat Non-Virtual (VDI) dari koneksi tersebut.

Persyaratan khusus komponen

• SQL Server Agent dengan TLS 1.3: Anda harus menggunakan Force Strict Encryption (TDS 8.0) ketika TLS 1.3 adalah satu-satunya versi yang diaktifkan. Pengaturan enkripsi yang lebih rendah (Mandatory atau Optional) mengakibatkan kegagalan koneksi.

• Pekerjaan SQL Server Agent T-SQL: Pekerjaan SQL Server Agent T-SQL yang terhubung ke instans lokal mewarisi pengaturan enkripsi SQL Server Agent.

• Modul PowerShell: SQLPS.exe dan modul PowerShell SQLPS saat ini tidak didukung untuk TDS 8.0.

• Grup ketersediaan AlwaysOn dan FCI: Untuk mengonfigurasi enkripsi ketat dengan TDS 8.0, gunakan CLUSTER_CONNECTION_OPTIONS klausa dengan Encrypt=Strict dan failover untuk menerapkan pengaturan.

Konten terkait

• TDS 8.0
• Menyambungkan ke SQL Server dengan enkripsi yang ketat
• Mengonfigurasi TLS 1.3