Aracılığıyla paylaş

PostgreSQL için Azure Veritabanı'nda Aktarım Katmanı Güvenliği (TLS)

PostgreSQL için Azure Veritabanı, tüm istemci bağlantılarının veritabanı sunucunuzla istemci uygulamaları arasındaki iletişimi şifreleyen endüstri standardı bir protokol olan Aktarım Katmanı Güvenliği'ni (TLS) kullanmasını gerektirir. TLS eski SSL protokollerinin yerini alır ve yalnızca TLS 1.2 ve 1.3 sürümleri güvenli olarak kabul edilir. TLS güvenliğinin bütünlüğü üç sütuna dayanır:

  • Yalnızca TLS 1.2 veya 1.3 sürümlerini kullanma.
  • İstemci, sunucunun Sertifika Yetkilisi (CA) tarafından verilen TLS sertifikasını güvenilir bir kök CA'nın başlattığı CA zincirinde doğrular.
  • Sunucu ve istemci arasında güvenli bir şifreleme paketi anlaşması yapma.

Güvenilen kök sertifikalar ve sertifika yenilemeleri

Önemli

Microsoft, ara sertifika yetkilisi sertifikalarını ve buna bağlı sertifika zincirini güncellemek amacıyla Azure Veritabanı için PostgreSQL'de bir TLS sertifika döngüsü başlattı. Kök CA'lar aynı kalır.

İstemci yapılandırmanız TLS için önerilen yapılandırmaları kullanıyorsa herhangi bir işlem yapmanız gerekmez.

Sertifika döndürme zamanlaması

  • Orta Batı ABD, Doğu Asya ve Güney Birleşik Krallık Azure bölgeleri TLS sertifika rotasyonuna 11 Kasım 2025'te başladı.
  • 19 Ocak 2026'da bu sertifika rotasyonunun Azure Kamu dahil olmak üzere kalan (Çin hariç) bölgelere kadar uzatılması planlanmaktadır.
  • Bahar Festivali (Çin Yeni Yılı) 2026'nın ardından, Çin bölgeleri kök CA'lardan birinde değişiklik içeren bir sertifika rotasyonundan da geçecek.

PostgreSQL için Azure Veritabanı tarafından kullanılan kök CA'lar

Kök CA'lar sertifika zincirindeki en üst düzey yetkililerdir. PostgreSQL için Azure Veritabanı şu anda aşağıdaki kök CA'lar tarafından bağlantılı bir ara CA (ICA) tarafından verilen çift imzalı sertifikaları kullanır:

Çin bölgeleri şu anda aşağıdaki CA'ları kullanır:

Ara CA'lar

PostgreSQL için Azure Veritabanı, sunucu sertifikaları vermek için ara CA'ları (ICA) kullanır. Microsoft, güvenliği korumak için bu ICA'ları ve verdikleri sunucu sertifikalarını düzenli aralıklarla döndürür. Bu döndürmeler rutindir ve önceden duyurulmuyor.

Ara CA'ların DigiCert Global Root CA geçerli dönüşümü (bkz. Sertifika döndürme) Kasım 2023'te başladı ve 2024'ün ilk çeyreğinde tamamlanması planlanıyor. Önerilen uygulamaları izlediyseniz, bu değişiklik ortamınızda değişiklik gerektirmez.

Eski CA zinciri

Güvenilen kök deponuzda ara CA'ları veya sunucu sertifikalarını kullanmayın.

  • DigiCert Global Root G2
    • Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08
      • Sunucu sertifikası

Yeni CA zinciri

Güvenilen kök deponuzda ara CA'ları veya sunucu sertifikalarını kullanmayın.

  • DigiCert Global Root G2
    • Microsoft TLS RSA Root G2
      • Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16
        • Sunucu sertifikası

Okuma amaçlı replikalar

DigiCert Global Root CA'dan DigiCert Global Root G2'ye kök CA geçişi tüm bölgelerde tamamlanmamıştır. Bu nedenle, yeni oluşturulan okuma amaçlı çoğaltmaların birincil sunucudan daha yeni bir kök CA sertifikası kullanması mümkündür. Okuma kopyalarının güvenilen sertifika deposuna DigiCert Global Root CA'yı eklemeniz gerekir.

Sertifika zincirleri

Sertifika zinciri, güvenilen Sertifika Yetkilileri (CA) tarafından verilen hiyerarşik bir sertifika dizisidir. Zincir, ara CA (ICA) sertifikaları veren kök CA'da başlar. ICA'lar alt düzey ICA'lar için sertifika verebilir. Zincirdeki en düşük ICA tek tek sunucu sertifikaları gönderir. Kök CA sertifikasına kadar zincirdeki her sertifikayı doğrulayarak güven zincirini oluşturursunuz.

Bağlantı hatalarını azaltma

Önerilen TLS yapılandırmalarının kullanılması, sertifika döndürmeleri veya ara CA'lardaki değişiklikler nedeniyle bağlantı hatası riskini azaltmaya yardımcı olur. Özellikle Ara CA'lara veya tek tek sunucu sertifikalarına güvenmekten kaçının. Bu uygulamalar, Microsoft sertifika zincirini güncelleştirdiğinde beklenmeyen bağlantı sorunlarına yol açabilir.

Önemli

Microsoft, istemci uygulamalarınızı hazırlamanıza yardımcı olmak için kök CA'lardaki değişiklikleri önceden duyurur. Ancak, sunucu sertifikası döndürmeleri ve ara CA'larda yapılan değişiklikler rutindir ve duyurulmuyor.

Dikkat

Desteklenmeyen (istemci) yapılandırmaların kullanılması beklenmeyen bağlantı hatalarına neden olur.

En iyi yapılandırma

  • En son, en güvenli TLS sürümünü zorunlu kılmak için sunucu parametresini ssl_min_protocol_version olarak TLSv1.3 ayarlayın.
  • Tam sertifika ve ana bilgisayar adı doğrulaması sağlamak için PostgreSQL bağlantıları için kullanın sslmode=verify-all . Özel Uç Noktalar veya sanal ağ tümleştirmesi ile DNS yapılandırmanıza bağlı olarak, verify-all mümkün olmayabilir. Bu nedenle, bunun yerine kullanabilirsiniz verify-ca .
  • Güvenilen kök deponuzda azure kök sertifikalarının tamamını her zaman koruyun.

İyi yapılandırma

  • Sunucu parametresini ssl_min_protocol_version olarak TLSv1.3ayarlayın. TLS 1.2'yi desteklemeniz gerekiyorsa en düşük sürümü ayarlamayın.
  • PostgreSQL bağlantıları için tam veya kısmi sertifika doğrulaması sağlamak amacıyla sslmode=verify-all veya sslmode=verify-ca kullanın.
  • Güvenilen kök deponun şu anda PostgreSQL için Azure Veritabanı tarafından kullanılan kök CA sertifikasını içerdiğinden emin olun:

Aşağıdaki yapılandırmaları kullanmayın:

  • require_secure_transport devre dışı bırakmak için OFF olarak ayarlayın ve istemci tarafını sslmode=disable olarak ayarlayın.
  • Uygulamanızı ortadaki adam saldırılarına karşı savunmasız hale getirebilecek istemci tarafı sslmode ayarlarını disable, allow, prefer veya require kullanmayın.

Desteklenmeyen yapılandırmalar; kullanmayın

Azure PostgreSQL ara CA değişiklikleri veya tek tek sunucu sertifikası döndürmeleri hakkındaki değişiklikleri duyurmaz. Bu nedenle, ayarlar sslmode veya verify-cakullanılırken verify-all aşağıdaki yapılandırmalar desteklenmez:

  • Güvenilen deponuzda ara CA sertifikalarını kullanma.
  • Örneğin, güvenilen deponuzda tek tek sunucu sertifikalarını kullanmak gibi sertifika sabitlemeyi kullanma.

Dikkat

Microsoft, sertifika zincirinin ara CA'larını değiştirerek veya sunucu sertifikasını döndürdükçe uygulamalarınız uyarı vermeden veritabanı sunucularına bağlanamıyor.

Sertifika sabitleme sorunları

Uyarı

İstemci uygulama bağlantı dizenizde sslmode=verify-full veya sslmode=verify-ca ayarlarını kullanmazsanız, sertifika döndürmeleri sizi etkilemez. Bu nedenle, bu bölümdeki adımları izlemeniz gerekmez.

Uygulamalarınızda hiçbir zaman sertifika sabitleme kullanmayın, çünkü bu, Ara CA'ların mevcut sertifika değişikliklerinde olduğu gibi, sertifika yenileme süreçlerini aksatır. Sertifika sabitlemenin ne olduğunu bilmiyorsanız, bunu kullanmanız pek olası değildir. Sertifika sabitlemeyi denetlemek için:

Bu adımları takip ettikten sonra bile ara sertifikadan kaynaklanan sorunlarla karşılaşıyorsanız Microsoft desteğine başvurun. Başlığa ICA Rotasyon 2026'yı ekleyin.

TLS için dikkat edilmesi gereken diğer noktalar

Çekirdek TLS yapılandırmasının ve sertifika yönetiminin ötesinde, postgreSQL için Azure Veritabanı'na şifreli bağlantıların güvenliğini ve davranışını etkileyen diğer birçok faktör vardır. Bu konuları anlamak, ortamınızdaki TLS uygulaması hakkında bilinçli kararlar vermenizi sağlar.

Güvensiz ve güvenli TLS sürümleri

Dünya genelindeki çeşitli kamu kuruluşları, ağ güvenliğiyle ilgili TLS yönergelerini korur. Amerika Birleşik Devletleri'nde bu kuruluşlar Sağlık ve İnsan Hizmetleri Bakanlığı ile Ulusal Standartlar ve Teknoloji Enstitüsü'nü içerir. TLS'nin sağladığı güvenlik düzeyi en çok TLS protokolü sürümünden ve desteklenen şifreleme paketlerinden etkilenir.

PostgreSQL için Azure Veritabanı TLS 1.2 ve 1.3 sürümlerini destekler. RFC 8996'da Internet Engineering Task Force (IETF), TLS 1.0 ve TLS 1.1'in kullanılmaması gerektiğini açıkça belirtir. Her iki protokol de 2019 sonuna kadar kullanım dışı bırakılmıştır. TLS protokolünün TLS 1.0 ve TLS 1.1 gibi önceki güvenli olmayan sürümlerini kullanan tüm gelen bağlantılar varsayılan olarak reddedilir.

IETF, AĞUSTOS 2018'de RFC 8446'da TLS 1.3 belirtimini yayımladı ve TLS 1.2'den daha hızlı ve daha güvenli olduğundan TLS 1.3 önerilen sürümdür.

Bunu önermesek de gerekirse PostgreSQL için Azure Veritabanınıza bağlantılar için TLS'yi devre dışı bırakabilirsiniz. sunucu parametresini require_secure_transport olarak OFFgüncelleştirebilirsiniz.

Önemli

Veritabanı bağlantılarınızı şifrelemek için TLS 1.3'ün en son sürümünü kullanın. Sunucu parametresini ssl_min_protocol_versionolarak ayarlayarak TLSv1.3 en düşük TLS sürümünü belirtebilirsiniz. Sunucu parametresini ssl_max_protocol_version ayarlamayın.

Şifreleme paketleri

Şifreleme paketi, şifreleme, anahtar değişimi algoritması ve karma algoritması içeren bir dizi algoritmadır. Güvenli bir TLS bağlantısı kurmak için bunları TLS sertifikası ve TLS sürümüyle birlikte kullanın. Çoğu TLS istemcisi ve sunucusu birden çok şifreleme paketi ve bazen de birden çok TLS sürümünü destekler. Bağlantının kurulması sırasında istemci ve sunucu, el sıkışması yoluyla kullanmak üzere TLS sürümü ve şifre paketi konusunda anlaşma sağlar. Bu el sıkışma sırasında aşağıdaki adımlar gerçekleşir:

  • İstemci, kabul edilebilir şifreleme paketlerinin listesini gönderir.
  • Sunucu listeden en iyi şifreleme paketini seçer ve istemciye tercihi bildirir.

PostgreSQL için Azure Veritabanı'nda TLS özellikleri kullanılamıyor

Şu anda PostgreSQL için Azure Veritabanı aşağıdaki TLS özelliklerini uygulamaz:

  • Karşılıklı kimlik doğrulaması (mTLS) ile TLS aracılığıyla TLS sertifika tabanlı istemci kimlik doğrulaması.
  • Özel sunucu sertifikaları (kendi TLS sertifikalarınızı getirin).

İlgili içerik

  • Last updated on