Delen via

Transportlaagbeveiliging (TLS) in Azure Database voor PostgreSQL

Voor Azure Database for PostgreSQL zijn alle clientverbindingen vereist voor het gebruik van Transport Layer Security (TLS), een industriestandaard protocol dat communicatie tussen uw databaseserver en clienttoepassingen versleutelt. TLS vervangt het oudere SSL-protocol, waarbij alleen TLS-versies 1.2 en 1.3 als veilig worden herkend. De integriteit van TLS-beveiliging is afhankelijk van drie pijlers:

  • Alleen TLS-versies 1.2 of 1.3 gebruiken.
  • Client valideert het TLS-certificaat van de server dat is uitgegeven door een certificeringsinstantie (CA) in een keten van CA's die zijn gestart door een vertrouwde basis-CA.
  • Onderhandelen over een beveiligde coderingssuite tussen server en client.

Vertrouwde basiscertificaten en certificaatrotaties

Belangrijk

Microsoft heeft een TLS-certificaatrotatie gestart voor Azure Database for PostgreSQL om tussenliggende CA-certificaten en de resulterende certificaatketen bij te werken. De root-CA's blijven hetzelfde.

Als uw clientconfiguratie gebruikmaakt van de aanbevolen configuraties voor TLS, hoeft u geen actie te ondernemen.

Schema voor certificaatrotatie

  • Azure-regio's VS - west-centraal, Azië - oost en VK - zuid hebben hun TLS-certificaatrotatie gestart op 11 november 2025.
  • Vanaf 19 januari 2026 is deze certificaatrotatie gepland om uit te breiden naar de resterende (behalve China)-regio's, waaronder Azure Government.
  • Na het Voorjaarsfestival (Chinees Nieuwjaar) 2026 zullen de Chinese regio's ook een certificaatrotatie ondergaan die een wijziging omvat in een van de basis-CA's.

Basis-CA's die worden gebruikt door Azure Database for PostgreSQL

Basis-CA's zijn de autoriteiten op het hoogste niveau in de certificaatketen. Azure Database for PostgreSQL maakt momenteel gebruik van dubbelondertekende certificaten die zijn uitgegeven door een tussenliggende CA (ICA) die zijn verankerd door de volgende basis-CA's:

China-regio's gebruiken momenteel de volgende CA's:

Tussenliggende CA's

Azure Database for PostgreSQL maakt gebruik van tussenliggende CA's (ICA's) om servercertificaten uit te geven. Om de beveiliging te behouden, roteert Microsoft periodiek deze ICA's en de servercertificaten die ze uitgeven. Deze rotaties zijn routine en worden niet van tevoren aangekondigd.

De huidige rotatie van tussenliggende CA's voor DigiCert Global Root CA (zie Certificaatrotatie) is gestart in november 2023 en is gepland voor voltooiing in het eerste kwartaal van 2024. Als u de aanbevolen procedures hebt gevolgd, zijn voor deze wijziging geen wijzigingen in uw omgeving vereist.

Oude CA-keten

Gebruik geen tussenliggende CA's of servercertificaten in uw vertrouwde hoofdopslag.

  • DigiCert Global Root G2
    • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
      • Servercertificaat

Nieuwe CA-keten

Gebruik geen tussenliggende CA's of servercertificaten in uw vertrouwde hoofdopslag.

  • DigiCert Global Root G2
    • Microsoft TLS RSA Root G2
      • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
        • Servercertificaat

Leeskopieën

Migratie van basis-CA van DigiCert Global Root CA naar DigiCert Global Root G2 is niet voltooid in alle regio's. Daarom is het mogelijk dat nieuw gemaakte leesreplica's een nieuwere basis-CA-certificaat gebruiken dan de primaire server. U moet DigiCert Global Root CA toevoegen aan het vertrouwde archief met leesreplica's.

Certificaatketens

Een certificaatketen is een hiërarchische reeks certificaten die zijn uitgegeven door vertrouwde certificeringsinstanties (CA's). De keten begint bij de basis-CA, die tussenliggende CA-certificaten (ICA) uitgeeft. IBA's kunnen certificaten uitgeven voor lagere ICA's. De laagste ICA in de keten geeft afzonderlijke servercertificaten uit. U stelt de vertrouwensketen vast door elk certificaat in de keten tot aan het basis-CA-certificaat te verifiëren.

Verbindingsfouten verminderen

Het gebruik van aanbevolen TLS-configuraties helpt het risico op verbindingsfouten te verminderen vanwege certificaatrotaties of wijzigingen in tussenliggende CA's. Vermijd met name het vertrouwen van tussenliggende CA's of afzonderlijke servercertificaten. Deze procedures kunnen leiden tot onverwachte verbindingsproblemen wanneer Microsoft de certificaatketen bijwerken.

Belangrijk

Microsoft kondigt wijzigingen in hoofd-CA's vooraf aan om u te helpen uw clienttoepassingen voor te bereiden. Servercertificaatrotaties en wijzigingen in tussenliggende CA's zijn echter routine en worden niet aangekondigd.

Waarschuwing

Het gebruik van niet-ondersteunde configuraties (clientconfiguraties) veroorzaakt onverwachte verbindingsfouten.

Beste configuratie

  • Dwing de nieuwste, veiligste TLS-versie af door de ssl_min_protocol_version serverparameter in te stellen op TLSv1.3.
  • Gebruik sslmode=verify-all voor PostgreSQL-verbindingen om volledige certificaat- en hostnaamverificatie te garanderen. Afhankelijk van uw DNS-configuratie met privé-eindpunten of integratie van virtuele netwerken, verify-all is dit mogelijk niet mogelijk. Daarom kunt u in plaats daarvan gebruiken verify-ca .
  • Behoud altijd de volledige set Azure-basiscertificaten in uw vertrouwde basisarchief.

Goede configuratie

  • Stel de ssl_min_protocol_version serverparameter in op TLSv1.3. Als u TLS 1.2 moet ondersteunen, moet u de minimale versie niet instellen.
  • Gebruik sslmode=verify-all of sslmode=verify-ca voor PostgreSQL-verbindingen om volledige of gedeeltelijke certificaatverificatie te garanderen.
  • Zorg ervoor dat het vertrouwde basisarchief het basis-CA-certificaat bevat dat momenteel wordt gebruikt door Azure Database for PostgreSQL:

Gebruik de volgende configuraties niet:

  • Schakel TLS uit door require_secure_transport in te stellen op OFF en de clientzijde in te stellen op sslmode=disable.
  • Gebruik instellingen sslmodeaan de clientzijdedisable, allowof preferrequire die uw app kwetsbaar kunnen maken voor man-in-the-middle-aanvallen.

Niet-ondersteunde configuraties; niet gebruiken

Azure PostgreSQL kondigt geen wijzigingen aan over tussenliggende CA-wijzigingen of rotaties van afzonderlijke servercertificaten. Daarom worden de volgende configuraties niet ondersteund bij het gebruik van sslmode instellingen verify-ca of verify-all:

  • Tussenliggende CA-certificaten gebruiken in uw vertrouwde opslag.
  • Gebruik certificaatpinning, zoals het gebruik van afzonderlijke servercertificaten in uw vertrouwde opslag.

Waarschuwing

Uw toepassingen kunnen geen verbinding maken met de databaseservers zonder waarschuwing wanneer Microsoft de tussenliggende CA's van de certificaatketen wijzigt of het servercertificaat roteert.

Problemen met het vastmaken van certificaten

Opmerking

Certificaatrotaties hebben geen invloed op u als u de sslmode=verify-full verbindingsreeks of sslmode=verify-ca instellingen van de clienttoepassing niet gebruikt. Daarom hoeft u de stappen in deze sectie niet te volgen.

Gebruik nooit certificaatpinning in uw applicaties omdat het certificaatrotatie onderbreekt, zoals de huidige wijziging van certificaten van de Intermediate CAs. Als u niet weet wat certificaat-pinning is, is het onwaarschijnlijk dat u het gebruikt. Controleren op het vastmaken van certificaten:

  • Produceer uw lijst met certificaten die zich in uw vertrouwde basisarchief bevinden.
  • U gebruikt certificaatpinning als u tussenliggende CA-certificaten of afzonderlijke PostgreSQL-servercertificaten in uw vertrouwde basisarchief hebt.
  • Als u certificaatpinning wilt verwijderen, verwijdert u alle certificaten uit het vertrouwde basisarchief en voegt u de aanbevolen basis-CA-certificaten toe.

Als u problemen ondervindt vanwege het tussenliggende certificaat, zelfs nadat u deze stappen hebt uitgevoerd, neemt u contact op met microsoft-ondersteuning. Neem ICA Rotation 2026 op in de titel.

Andere overwegingen voor TLS

Naast het belangrijkste TLS-configuratie- en certificaatbeheer zijn verschillende andere factoren van invloed op de beveiliging en het gedrag van versleutelde verbindingen met Azure Database for PostgreSQL. Als u deze overwegingen begrijpt, kunt u weloverwogen beslissingen nemen over TLS-implementatie in uw omgeving.

Onveilige en beveiligde TLS-versies

Verschillende overheidsentiteiten wereldwijd onderhouden richtlijnen voor TLS met betrekking tot netwerkbeveiliging. In de Verenigde Staten omvatten deze organisaties het Department of Health and Human Services en het National Institute of Standards and Technology. Het beveiligingsniveau dat TLS biedt, wordt het meest beïnvloed door de TLS-protocolversie en de ondersteunde coderingssuites.

Azure Database for PostgreSQL ondersteunt TLS-versies 1.2 en 1.3. In RFC 8996 geeft de Internet Engineering Task Force (IETF) expliciet aan dat TLS 1.0 en TLS 1.1 niet mogen worden gebruikt. Beide protocollen zijn eind 2019 afgeschaft. Alle binnenkomende verbindingen die gebruikmaken van eerdere onveilige versies van het TLS-protocol, zoals TLS 1.0 en TLS 1.1, worden standaard geweigerd.

De IETF heeft de TLS 1.3-specificatie uitgebracht in RFC 8446 in augustus 2018 en TLS 1.3 is de aanbevolen versie omdat deze sneller en veiliger is dan TLS 1.2.

Hoewel dit niet wordt aanbevolen, kunt u, indien nodig, TLS uitschakelen voor verbindingen met uw Azure Database for PostgreSQL. U kunt de require_secure_transport serverparameter bijwerken naar OFF.

Belangrijk

Gebruik de nieuwste versie van TLS 1.3 om uw databaseverbindingen te versleutelen. U kunt de minimale TLS-versie specificeren door de serverparameter ssl_min_protocol_version in te stellen op TLSv1.3. Stel de ssl_max_protocol_version serverparameter niet in.

Cryptografische suites

Een coderingssuite is een set algoritmen die een codering, een algoritme voor sleuteluitwisseling en een hash-algoritme bevatten. Gebruik deze samen met het TLS-certificaat en de TLS-versie om een beveiligde TLS-verbinding tot stand te brengen. De meeste TLS-clients en -servers ondersteunen meerdere coderingssuites en soms meerdere TLS-versies. Tijdens de oprichting van de verbinding onderhandelen de client en server over de TLS-versie en coderingssuite die via een handshake moeten worden gebruikt. Tijdens deze handshake worden de volgende stappen uitgevoerd:

  • Client verzendt een lijst met acceptabele coderingssuites.
  • Server selecteert de beste coderingssuite in de lijst en informeert de client van de keuze.

TLS-functies zijn niet beschikbaar in Azure Database for PostgreSQL

Op dit moment implementeert Azure Database for PostgreSQL niet de volgende TLS-functies:

  • Tls-clientverificatie op basis van certificaten via TLS met wederzijdse verificatie (mTLS).
  • Aangepaste servercertificaten (bring your own TLS certificates).

Verwante inhoud

  • Last updated on