Condividi tramite


Informazioni sulle modifiche apportate alla CA radice per database SQL di Azure e Istanza gestita di SQL

Database SQL di Azure e Istanza gestita di SQL modificheranno il certificato radice per l'applicazione client/il driver basato su SSL (Secure Sockets Layer) o Transport Layer Security (TLS), usato per stabilire una connessione TDS sicura. Il certificato radice corrente è impostato per la scadenza del 26 ottobre 2020 come parte delle procedure consigliate per la manutenzione e la sicurezza standard. Questo articolo fornisce altri dettagli sulle modifiche imminenti, sulle risorse che saranno interessate e sui passaggi necessari per garantire che l'applicazione mantenga la connettività al server di database.

Cosa succederà con l'aggiornamento?

Il forum del browser dell'autorità di certificazione (CA) ha recentemente pubblicato report di più certificati rilasciati dai fornitori CA non conformi.

In base ai requisiti di conformità del settore, i fornitori di autorità di certificazione (CA) hanno iniziato a revocare i certificati CA per le CA non conformi, richiedendo ai server di usare certificati rilasciati da CA conformi e firmati da certificati CA da tali CA conformi. Poiché database SQL di Azure e Istanza gestita di SQL attualmente usano uno di questi certificati non conformi, impiegato dalle applicazioni client per convalidare le connessioni TLS, è necessario assicurarsi che vengano eseguite azioni appropriate (descritte di seguito) per ridurre al minimo il potenziale impatto sui server SQL di Azure.

Il nuovo certificato verrà usato a partire dal 26 ottobre 2020. Se si usa la convalida completa del certificato del server durante la connessione da un client SQL (TrustServerCertificate=false), è necessario assicurarsi che il client SQL sia in grado di convalidare il nuovo certificato radice prima del 26 ottobre 2020.

In che modo sapere se l'applicazione potrebbe essere interessata?

Tutte le applicazioni che usano SSL/TLS e verificano il certificato radice devono aggiornare il certificato radice per connettersi a database SQL di Azure e Istanza gestita di SQL di Azure.

Se attualmente non si usa SSL/TLS, non si verifica alcun impatto sulla disponibilità dell'applicazione. È possibile verificare se l'applicazione client sta tentando di verificare il certificato radice esaminando il stringa di connessione. Se TrustServerCertificate è impostato in modo esplicito su true, ciò non ha alcun impatto.

Se il driver client usa l'archivio certificati del sistema operativo come la maggior parte dei driver e il sistema operativo viene gestito regolarmente, questa modifica probabilmente non influirà sull'utente, perché il certificato radice a cui si sta passando dovrebbe essere già disponibile nell'archivio dei certificati radice attendibili. Verificare la presenza di Baltimore CyberTrust Root e DigiCert GlobalRoot G2 Root per la convalida.

Se il driver client usa l'archivio dei certificati dei file locali, per evitare che la disponibilità dell'applicazione venga interrotta a causa di certificati revocati in modo imprevisto o per aggiornare un certificato che è stato revocato, fare riferimento alla sezione Operazioni da eseguire per mantenere la connettività.

Operazioni da eseguire per mantenere la connettività

Per evitare che la disponibilità dell'applicazione venga interrotta a causa di certificati revocati in modo imprevisto o per aggiornare un certificato revocato, seguire questa procedura:

Quale impatto può verificarsi?

Se si convalidano i certificati del server come documentato, la disponibilità dell'applicazione potrebbe essere interrotta perché il database non sarà raggiungibile. A seconda dell'applicazione, è possibile ricevere un'ampia gamma di messaggi di errore, tra cui:

  • Certificato non valido/Certificato revocato
  • Timeout della connessione
  • Errore, se del caso

Domande frequenti

Se non si usa SSL/TLS, è comunque necessario aggiornare la CA radice?

Se non si usa SSL/TLS, non sono necessarie azioni relative a questa modifica. È comunque consigliabile impostare un piano per iniziare a usare la versione più recente di TLS, in quanto si prevede di applicare TLS in futuro.

Cosa succederà se il certificato radice non viene aggiornato prima del 26 ottobre 2020?

Se non si aggiorna il certificato radice prima del 30 novembre 2020, le applicazioni che si connettono tramite SSL/TLS non saranno in grado di comunicare con il database SQL di Azure e Istanza gestita di SQL e l'applicazione verificherà problemi di connettività al database SQL di Azure e Istanza gestita di SQL.

È necessario pianificare un tempo di inattività di manutenzione per questa modifica?

No. Poiché la modifica si trova solo sul lato client per connettersi al server, non sono necessari tempi di inattività di manutenzione per questa modifica.

Cosa succede se non è possibile pianificare un tempo di inattività per questa modifica prima del 26 ottobre 2020?

Poiché i client usati per la connessione al server devono aggiornare le informazioni sul certificato come descritto nella sezione relativa alle correzioni qui, in tal caso non è necessario un tempo di inattività per il server.

Se si crea un nuovo server dopo il 30 novembre 2020, quale sarà l'impatto?

Per i server creati dopo il 26 ottobre 2020, è possibile usare il certificato appena rilasciato per le applicazioni per connettersi tramite SSL/TLS.

Con quale frequenza Microsoft aggiorna i certificati, oppure qual è il criterio di scadenza?

Questi certificati usati da database SQL di Azure e Istanza gestita di SQL vengono forniti da autorità di certificazione (CA) attendibili. Il supporto di questi certificati su database SQL di Azure e Istanza gestita di SQL è quindi associato al supporto di questi certificati da parte della CA. Tuttavia, come in questo caso, possono verificarsi bug imprevisti in questi certificati predefiniti, che devono essere corretti al più presto.

Se si usano repliche in lettura, è necessario eseguire l'aggiornamento solo nel server primario o in tutte le repliche in lettura?

Poiché questo aggiornamento è una modifica lato client, se il client usato per leggere i dati dal server di replica, sarà necessario applicare anche le modifiche per tali client.

È disponibile una query lato server per verificare se è in uso SSL/TLS?

Poiché questa configurazione è lato client, le informazioni non sono disponibili sul lato server.

A chi rivolgersi in caso di altre domande?

Se si dispone di un piano di supporto e si ha bisogno di assistenza tecnica, vedere Come creare una richiesta di supporto in Azure.