Noções básicas sobre as alterações na AC raiz para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL
O Banco de Dados SQL do Azure e a Instância Gerenciada de SQL mudarão o certificado raiz para o driver/aplicativo cliente habilitado com protocolo SSL ou protocolo TLS, usados para estabelecer uma conexão TDS segura. O certificado raiz atual está definido para expirar em 26 de outubro de 2020 como parte das melhores práticas de manutenção e segurança padrão. Este artigo fornece mais detalhes sobre as alterações futuras, os recursos que serão afetados e as etapas necessárias para garantir que o aplicativo mantenha a conectividade com o servidor de banco de dados.
Qual atualização será realizada?
O fórum do Navegador da AC (autoridade de certificação) publicou recentemente relatórios de vários certificados emitidos por fornecedores de AC que não estavam em conformidade.
De acordo com os requisitos de conformidade do setor, os fornecedores de AC começaram a revogar certificados de AC para ACs não compatíveis, exigindo que os servidores usem certificados emitidos por ACs em conformidade e assinados por certificados de autoridade de certificação dessas ACs em conformidade. Como o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL usam atualmente um desses certificados não compatíveis, os quais são usados por aplicativos clientes para validar suas conexões TLS, precisamos garantir que as medidas apropriadas sejam tomadas (descritas abaixo) para minimizar o impacto potencial nos servidores SQL do Azure.
O novo certificado será usado a partir de 26 de outubro de 2020. Se você usar a validação completa do certificado do servidor ao se conectar por meio de um cliente do SQL (TrustServerCertificate=false), verifique se o cliente do SQL pode validar o novo certificado raiz antes de 26 de outubro de 2020.
Como saber se meu aplicativo pode ser afetado?
Todos os aplicativos que usam SSL/TLS e verificam o certificado raiz precisam atualizar esse certificado para se conectar ao Banco de Dados SQL do Azure e à Instância Gerenciada de SQL do Azure.
Se você não estiver usando o SSL/TLS no momento, não haverá nenhum impacto na disponibilidade do aplicativo. Você pode verificar se o aplicativo cliente está tentando verificar o certificado raiz examinando a cadeia de conexão. Se TrustServerCertificate for definido explicitamente como true, você não será afetado.
Se o seu driver de cliente utilizar o repositório de certificados do sistema operacional, como a maioria dos drivers, e seu sistema operacional passar por manutenção regularmente, essa alteração provavelmente não afetará você, pois o certificado raiz para o qual estamos mudando já estará disponível em seu repositório de certificados raiz confiáveis. Verifique e valide a presença das raízes Baltimore CyberTrust e DigiCert GlobalRoot G2.
Se o seu driver cliente utilizar o repositório de certificados de arquivo local, para evitar que a disponibilidade do aplicativo seja interrompida devido a certificados revogados inesperadamente ou para atualizar um certificado que foi revogado, confira a seção O que preciso fazer para manter a conectividade.
O que preciso fazer para manter a conectividade
Para evitar que a disponibilidade do aplicativo seja interrompida pela revogação inesperada dos certificados ou para atualizar um certificado que foi revogado, siga estas etapas:
Baixe a AC raiz Baltimore CyberTrust Root & DigiCert GlobalRoot G2:
Gere um repositório de certificados de AC combinado com os certificados BaltimoreCyberTrustRoot e DigiCertGlobalRootG2 incluídos.
Qual pode ser o impacto?
Se você estiver validando certificados de servidor conforme documentado aqui, a disponibilidade do aplicativo poderá ser interrompida, pois o banco de dados não estará acessível. Dependendo do seu aplicativo, você pode receber uma variedade de mensagens de erro, incluindo, entre outras:
- Certificado inválido/certificado revogado
- A conexão atingiu o tempo limite
- Erro, se aplicável
Perguntas frequentes
Se eu não estiver usando SSL/TLS, precisarei atualizar a AC raiz mesmo assim?
Nenhuma ação relacionada a essa alteração será necessária se você não estiver usando SSL/TLS. Ainda assim, você deve definir um plano para começar a usar a versão mais recente do TLS, pois planejamos a imposição do TLS em um futuro próximo.
O que acontecerá se eu não atualizar o certificado raiz antes de 26 de outubro de 2020?
Se você não atualizar o certificado raiz antes de 30 de novembro de 2020, seus aplicativos que se conectam via SSL/TLS e fazem a verificação do certificado raiz não poderão se comunicar com o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL e terão problemas de conectividade com esses dois serviços.
Preciso planejar um tempo de inatividade de manutenção para essa alteração?
Não. Como a alteração é feita apenas no lado do cliente para se conectar ao servidor, não é necessário um tempo de inatividade de manutenção para ela.
E se eu não conseguir agendar o tempo de inatividade para essa alteração antes de 26 de outubro de 2020?
Como os clientes usados para se conectar ao servidor precisam atualizar as informações do certificado, conforme descrito nesta seção de correção, não precisamos de tempo de inatividade para o servidor nesse caso.
Se eu criar um servidor após 30 de novembro de 2020, serei afetado?
Para servidores criados após 26 de outubro de 2020, você pode usar o certificado emitido recentemente para seus aplicativos se conectarem usando SSL/TLS.
Com que frequência a Microsoft atualiza os certificados ou qual é a política de expiração?
Esses certificados usados pelo Banco de Dados SQL do Azure e a Instância Gerenciada de SQL são fornecidos por ACs (autoridades de certificação) confiáveis. Portanto, o suporte desses certificados no Banco de Dados SQL do Azure e na Instância Gerenciada de SQL está vinculado ao suporte desses certificados pela CA. Porém, nesse caso, pode haver bugs imprevistos nesses certificados predefinidos, que precisam ser corrigidos assim que possível.
Se eu estiver usando réplicas de leitura, precisarei fazer essa atualização somente no servidor primário ou em todas as réplicas?
Como essa atualização é feita no lado do cliente, se o cliente lia os dados do servidor de réplica, também precisaremos aplicar as alterações para esses clientes.
Há uma consulta do lado do servidor para verificar se o SSL/TLS está sendo usado?
Como essa configuração é do lado do cliente, as informações não estão disponíveis no lado do servidor.
E se eu tiver outras dúvidas?
Se você tiver um plano de suporte e precisar de ajuda técnica, crie uma solicitação de suporte do Azure. Confira Como criar uma solicitação de suporte do Azure.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de