Aracılığıyla paylaş

PostgreSQL için Azure Veritabanı'nda Aktarım Katmanı Güvenliği (TLS)

Giriş

PostgreSQL için Azure Veritabanı, tüm istemci bağlantılarının veritabanı sunucunuzla istemci uygulamaları arasındaki iletişimi şifreleyen endüstri standardı bir protokol olan Aktarım Katmanı Güvenliği'ni (TLS) kullanmasını gerektirir. TLS eski SSL protokollerinin yerini alır ve yalnızca TLS 1.2 ve 1.3 sürümleri güvenli olarak kabul edilir. TLS güvenliğinin bütünlüğü üç sütuna dayanır:

  • Yalnızca TLS 1.2 veya 1.3 sürümlerini kullanma.
  • İstemci, sunucunun Sertifika Yetkilisi (CA) tarafından verilen TLS sertifikasını güvenilir bir kök CA'nın başlattığı CA zincirinde doğrular.
  • Sunucu ve istemci arasında güvenli bir şifreleme paketi anlaşması yapma.

Güvenilen kök sertifikalar ve sertifika yenilemeleri

Önemli

Yeni ara CA sertifikalarını ve bunun sonucunda oluşan sertifika zincirini güncellemek için Azure Veritabanı for PostgreSQL üzerinde TLS sertifika yenileme sürecini başlattık. Kök CA'lar aynı kalır.

İstemci yapılandırmanız TLS için Önerilen yapılandırmaları uygularsa herhangi bir eylem gerekmez.

Sertifika döndürme zamanlaması

  • Orta Batı ABD, Doğu Asya ve Güney Birleşik Krallık Azure bölgeleri TLS sertifika rotasyonuna 11 Kasım 2025'te başladı.
  • 19 Ocak 2026'da bu sertifika rotasyonunun Azure Kamu dahil olmak üzere kalan (Çin hariç) bölgelere kadar uzatılması planlanmaktadır.
  • Bahar Festivali (Çin Yeni Yılı) 2026'nın ardından, Çin bölgeleri kök CA'lardan birinde değişiklik içeren bir sertifika rotasyonundan da geçecek.

PostgreSQL için Azure Veritabanı tarafından kullanılan kök CA'lar

Kök CA'lar sertifika zincirindeki en üst düzey yetkililerdir. PostgreSQL için Azure Veritabanı şu anda aşağıdaki kök CA'lar tarafından sabitlenmiş bir ICA tarafından verilen çift imzalı sertifikaları kullanır:

Çin bölgeleri şu anda aşağıdaki CA'ları kullanır:

Ara CA'lar hakkında

PostgreSQL için Azure Veritabanı, sunucu sertifikaları vermek için ara CA'ları (ICA) kullanır. Microsoft, güvenliği korumak için bu ICA'ları ve verdikleri sunucu sertifikalarını düzenli aralıklarla döndürür. Bu döndürmeler rutindir ve önceden duyurulmuyor.

Ara CA'ların DigiCert Global Root CA geçerli değiştirilmesi (bkz. Sertifika değiştirme) Kasım 2025'te başladı ve 2026'nın ilk çeyreğinde tamamlanacak şekilde planlandı, ara CA'ları şu şekilde değiştirir. Önerilen uygulamaları izlediyseniz, bu değişiklik ortamınızda değişiklik gerektirmez.

Eski CA zinciri

Bu bilgiler yalnızca başvuru için sağlanır. Güvenilen kök deponuzda ara CA'ları veya sunucu sertifikalarını kullanmayın.

  • DigiCert Global Root G2
    • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
      • Sunucu sertifikası

Yeni CA zinciri

Bu bilgiler yalnızca başvuru için sağlanır. Güvenilen kök deponuzda ara CA'ları veya sunucu sertifikalarını kullanmayın.

  • DigiCert Global Root G2
    • Microsoft TLS RSA Root G2
      • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
        • Sunucu sertifikası

Okuma amaçlı replikalar

DigiCert Global Root CA'dan DigiCert Global Root G2'ye kök CA geçişi tüm bölgelerde tamamlanmamıştır. Bu nedenle, yeni oluşturulan okuma replikalarının, birincil sunucudan daha yeni bir kök CA sertifikası üzerinde olması mümkündür. Bu nedenle, okuma çoğaltmalarının güvendiği depoya DigiCert Küresel Kök CA'yı eklemeniz gerekir.

Sertifika zincirleri

Sertifika zinciri, ara CA (ICA) sertifikaları veren kök CA'dan başlayarak güvenilen Sertifika Yetkilileri (CA) tarafından verilen hiyerarşik bir sertifika dizisidir. ICA'lar alt düzeydeki ICA'lar için sertifikalar verebilir. Zincirdeki en düşük ICA tek tek sunucu sertifikaları gönderir. Güven zinciri, kök CA sertifikasına kadar olan zincirdeki her sertifika doğrulanarak oluşturulur.

Bağlantı hatalarını azaltma

Önerilen TLS yapılandırmalarının kullanılması, sertifika döndürmeleri veya ara CA'lardaki değişiklikler nedeniyle bağlantı hatası riskini azaltmaya yardımcı olur. Özellikle ara CA'lara veya tek tek sunucu sertifikalarına güvenmekten kaçının. Bu uygulamalar, Microsoft sertifika zincirini güncelleştirdiğinde beklenmeyen bağlantı sorunlarına yol açabilir.

Önemli

Kök CA'lardaki değişiklikler, istemci uygulamalarınızı hazırlamanıza yardımcı olmak için önceden duyurulur; ancak, sunucu sertifikası döndürmeleri ve ara CA'larda yapılan değişiklikler rutindir ve bu nedenle duyurulmuyor.

Dikkat

Desteklenmeyen (istemci) yapılandırmaların kullanılması beklenmeyen bağlantı hatalarına neden olur.

En iyi yapılandırma

  • En son, en güvenli TLS sürümünü zorunlu kılmak için sunucu parametresini ssl_min_protocol_version olarak TLSv1.3 ayarlayın.
  • Tam sertifika ve ana bilgisayar adı doğrulaması sağlamak için PostgreSQL bağlantıları için kullanın sslmode=verify-all . Özel Uç Noktalar veya VNET tümleştirmesi ile DNS yapılandırmanıza bağlı olarak, verify-all mümkün olmayabilir; bu nedenle bunun yerine verify-ca kullanabilirsiniz.
  • Güvenilen kök deponuzda azure kök sertifikalarının tamamını her zaman koruyun.

İyi yapılandırma

  • Sunucu parametresini ssl_min_protocol_version olarak TLSv1.3ayarlayın. TLS 1.2'yi desteklemeniz gerekiyorsa en düşük sürümü ayarlamayın.
  • PostgreSQL bağlantıları için tam veya kısmi sertifika doğrulaması sağlamak amacıyla sslmode=verify-all veya sslmode=verify-ca kullanın.
  • Güvenilen kök deponun şu anda PostgreSQL için Azure Veritabanı tarafından kullanılan kök CA sertifikasını içerdiğinden emin olun:

Aşağıdaki yapılandırmalara karşı kesinlikle öneride bulunacağız:

  • require_secure_transport'yı OFF olarak ayarlayıp istemci tarafını sslmode=disable olarak ayarlayarak TLS'yi tamamen devre dışı bırakın.
  • Ortadaki adam saldırılarını önlemek için sslmode, disable, allow, prefer veya require istemci tarafı ayarlarından kaçının.

Desteklenmeyen yapılandırmalar; kullanmayın

Azure PostgreSQL, ara sertifika otoritesi (CA) değişiklikleri veya bireysel sunucu sertifikası döngüleri hakkındaki değişiklikleri duyurmaz; bu nedenle, sslmode ayarları verify-ca veya verify-all kullanılırken aşağıdaki yapılandırmalar desteklenmez:

  • Güvenilir depolarınızda ara CA sertifikaları kullanırsınız.
  • Sertifika sabitlemesini, örneğin güvenilen deponuzda ayrı ayrı sunucu sertifikalarını kullanarak, kullanırsınız.

Dikkat

Microsoft, sertifika zincirinin ara CA'larını değiştirerek veya sunucu sertifikasını döndürdükçe uygulamalarınız uyarı vermeden veritabanı sunucularına bağlanamıyor.

Sertifika sabitleme sorunları

Uyarı

İstemci uygulama bağlantı dizenizde sslmode=verify-full veya sslmode=verify-ca ayarlarını kullanmıyorsanız, sertifika döndürmeleri sizi etkilemez. Bu nedenle, bu bölümdeki adımları izlemeniz gerekmez.

Ara CA'ların geçerli sertifika değişiklikleri gibi sertifika döndürme süreçlerini bozduğundan, uygulamalarınızda sertifika sabitleme hiçbir zaman kullanılmamalıdır. Sertifika sabitlemenin ne olduğunu bilmiyorsanız, bunu kullanmanız pek olası değildir. Sertifika sabitlemeyi denetlemek için:

Bu adımları takip ettikten sonra bile ara sertifika nedeniyle sorunlarla karşılaşıyorsanız Microsoft desteğine başvurun. ICA Döndürme 2026'yı başlığa dahil edin.

TLS için dikkat edilmesi gereken diğer noktalar

Güvensiz ve güvenli TLS sürümleri

Dünya genelindeki çeşitli kamu kuruluşları, ağ güvenliğiyle ilgili TLS yönergelerini korur. Amerika Birleşik Devletleri'nde bu kuruluşlar Sağlık ve İnsan Hizmetleri Bakanlığı ile Ulusal Standartlar ve Teknoloji Enstitüsü'nü içerir. TLS'nin sağladığı güvenlik düzeyi en çok TLS protokolü sürümünden ve desteklenen şifreleme paketlerinden etkilenir.

PostgreSQL için Azure Veritabanı TLS sürüm 1.2 ve 1.3'i destekler. RFC 8996'da Internet Engineering Task Force (IETF), TLS 1.0 ve TLS 1.1'in kullanılmaması gerektiğini açıkça belirtir. Her iki protokol de 2019 sonuna kadar kullanım dışı bırakılmıştır. TLS protokolünün TLS 1.0 ve TLS 1.1 gibi önceki güvenli olmayan sürümlerini kullanan tüm gelen bağlantılar varsayılan olarak reddedilir.

IETF, AĞUSTOS 2018'de RFC 8446'da TLS 1.3 belirtimini yayımladı ve TLS 1.2'den daha hızlı ve daha güvenli olduğundan TLS 1.3 önerilen sürümdür.

Bunu önermesek de gerekirse PostgreSQL için Azure Veritabanınıza bağlantılar için TLS'yi devre dışı bırakabilirsiniz. sunucu parametresini require_secure_transport olarak OFFgüncelleştirebilirsiniz.

Önemli

Veritabanı bağlantılarınızı şifrelemek için TLS 1.3'ün en son sürümlerini kullanmanızı kesinlikle öneririz. Sunucu parametresini ssl_min_protocol_versionolarak ayarlayarak TLSv1.3 en düşük TLS sürümünü belirtebilirsiniz. Sunucu parametresini ssl_max_protocol_version ayarlamayın.

Şifre paketleri

Şifreleme paketi, şifreleme, anahtar değişimi algoritması ve karma algoritması içeren bir dizi algoritmadır. Güvenli bir TLS bağlantısı kurmak için TLS sertifikası ve TLS sürümüyle birlikte kullanılırlar. Çoğu TLS istemcisi ve sunucusu birden çok şifreleme paketi ve bazen de birden çok TLS sürümünü destekler. Bağlantının kurulması sırasında istemci ve sunucu, el sıkışması yoluyla kullanmak üzere TLS sürümü ve şifre paketi konusunda anlaşma sağlar. Bu el sıkışma sırasında aşağıdakiler gerçekleşir:

  • İstemci, kabul edilebilir şifreleme paketlerinin listesini gönderir.
  • Sunucu, listeden en iyi (kendi tanımına göre) şifreleme paketini seçer ve istemciyi tercihi bildirir.

PostgreSQL için Azure Veritabanı'nda TLS özellikleri kullanılamıyor

Şu anda PostgreSQL için Azure Veritabanı aşağıdaki TLS özelliklerini uygulamaz:

  • Karşılıklı kimlik doğrulaması (mTLS) ile TLS aracılığıyla TLS sertifika tabanlı istemci kimlik doğrulaması.
  • Özel sunucu sertifikaları (kendi TLS sertifikalarınızı getirin).

İlgili içerik

  • Last updated on