Informazioni sulle modifiche apportate alla CA radice per Azure SQL Database & Istanza gestita di SQL

Azure SQL Istanza gestita di SQL database & modificherà il certificato radice per l'applicazione client o il driver abilitato con SSL, usato per stabilire una connessione TDS sicura. Il certificato radice corrente è impostato per scadere il 26 ottobre 2020 come parte delle procedure consigliate per la manutenzione e la sicurezza standard. Questo articolo fornisce altri dettagli sulle modifiche imminenti, sulle risorse che verranno interessate e sui passaggi necessari per garantire che l'applicazione mantenga la connettività al server di database.

Cosa succederà l'aggiornamento?

Forum del browser autorità di certificazione (CA) pubblicato di recente report di più certificati rilasciati dai fornitori della CA per essere non conformi.

In base ai requisiti di conformità del settore, i fornitori di autorità di certificazione hanno iniziato a revocare i certificati CA per ca non conformi, richiedendo ai server di usare certificati rilasciati da ca conformi e firmati da certificati CA da tali ca conformi. Poiché Azure SQL database & Istanza gestita di SQL attualmente usano uno di questi certificati non conformi, che le applicazioni client usano per convalidare le connessioni SSL, è necessario assicurarsi che vengano eseguite azioni appropriate (descritte di seguito) per ridurre al minimo il potenziale impatto sui server Azure SQL.

Il nuovo certificato verrà usato a partire dal 26 ottobre 2020. Se si usa la convalida completa del certificato server durante la connessione da un client SQL (TrustServerCertificate=false), è necessario assicurarsi che il client SQL sia in grado di convalidare il nuovo certificato radice prima del 26 ottobre 2020.

Ricerca per categorie sapere se l'applicazione potrebbe essere interessata?

Tutte le applicazioni che usano SSL/TLS e verificano che il certificato radice debba aggiornare il certificato radice per connettersi a Azure SQL database & Istanza gestita di SQL.

Se attualmente non si usa SSL/TLS, non si verifica alcun impatto sulla disponibilità dell'applicazione. È possibile verificare se l'applicazione client sta tentando di verificare il certificato radice esaminando la stringa di connessione. Se TrustServerCertificate è impostato in modo esplicito su true, non si è interessati.

Se il driver client usa l'archivio certificati del sistema operativo, come la maggior parte dei driver e il sistema operativo viene gestito regolarmente, questa modifica probabilmente non influirà sull'utente, perché il certificato radice a cui si sta passando dovrebbe essere già disponibile nell'archivio certificati radice attendibile. Verificare la presenza di Baltimore CyberDigiCert GlobalRoot G2 e verificare che sia presente.

Se il driver client usa l'archivio certificati file locale, per evitare che la disponibilità dell'applicazione venga interrotta a causa di certificati revocati in modo imprevisto o per aggiornare un certificato, che è stato revocato, fare riferimento alla sezione Cosa è necessario fare per gestire la connettività .

Cosa è necessario fare per mantenere la connettività

Per evitare che la disponibilità dell'applicazione venga interrotta a causa di certificati revocati in modo imprevisto o per aggiornare un certificato revocato, seguire questa procedura:

Che cosa può essere l'impatto?

Se si convalidano i certificati server come documentato qui, la disponibilità dell'applicazione potrebbe essere interrotta perché il database non sarà raggiungibile. A seconda dell'applicazione, è possibile che vengano visualizzati diversi messaggi di errore, tra cui:

  • Certificato non valido/Certificato revocato
  • Timeout della connessione
  • Errore, se applicabile

Domande frequenti

Se non si usa SSL/TLS, è comunque necessario aggiornare la CA radice?

Se non si usa SSL/TLS, non sono necessarie azioni relative a questa modifica. È comunque consigliabile impostare un piano per iniziare a usare la versione più recente di TLS perché si prevede l'applicazione TLS in futuro.

Cosa succede se non si aggiorna il certificato radice prima del 26 ottobre 2020?

Se non si aggiorna il certificato radice prima del 30 novembre 2020, le applicazioni che si connettono tramite SSL/TLS e non riusciranno a comunicare con il Azure SQL Database & Istanza gestita di SQL e l'applicazione verificherà problemi di connettività al database & Azure SQL Istanza gestita di SQL.

È necessario pianificare un tempo di inattività di manutenzione per questa modifica?

No. Poiché la modifica in questo caso si trova solo sul lato client per connettersi al server, per questa modifica non sono necessari tempi di inattività di manutenzione.

Cosa succede se non è possibile ottenere un tempo di inattività pianificato per questa modifica prima del 26 ottobre 2020?

Poiché i client usati per la connessione al server devono aggiornare le informazioni sul certificato, come descritto nella sezione correzione, non è necessario un tempo di inattività per il server in questo caso.

Se si crea un nuovo server dopo il 30 novembre 2020, l'impatto sarà?

Per i server creati dopo il 26 ottobre 2020, è possibile usare il certificato appena rilasciato per le applicazioni per connettersi tramite SSL.

Con quale frequenza Microsoft aggiorna i certificati o qual è il criterio di scadenza?

Questi certificati usati da Azure SQL database Istanza gestita di SQL vengono forniti da autorità di certificazione attendibili.These certificates used by Azure SQL Database & Istanza gestita di SQL are provided by trusted Certificate Authority (CA). Il supporto di questi certificati in Azure SQL database & Istanza gestita di SQL è quindi associato al supporto di questi certificati da parte della CA. Tuttavia, come in questo caso, possono verificarsi bug imprevisti in questi certificati predefiniti, che devono essere corretti al più presto.

Se si usano repliche in lettura, è necessario eseguire questo aggiornamento solo nel server primario o in tutte le repliche in lettura?

Poiché questo aggiornamento è una modifica lato client, se il client usato per leggere i dati dal server di replica, sarà necessario applicare anche le modifiche per tali client.

È disponibile una query sul lato server per verificare se viene usato SSL?

Poiché questa configurazione è sul lato client, le informazioni non sono disponibili sul lato server.

Cosa succede se ho altre domande?

Se si ha un piano di supporto ed è necessaria assistenza tecnica, creare supporto tecnico di Azure richiesta, vedere Come creare supporto tecnico di Azure richiesta.