Сумісність SQL Server із новими стандартами TLS


30
  • Основні веб-переглядачі виходять за рамки SSL3.0 та TLS1.0.
  • Рада Безпеки PCI оголосила дату закінчення терміну дії цих протоколів вважати достатньо сильним шифруванням.

Нам потрібно відійти від цих протоколів, використовувати новіші та сильніші. На серверах Windows можна дуже легко відключити ці старі протоколи, а натомість пропонувати лише TLS1.1 або новішу версію. Однак, як було зазначено в іншому місці , Microsoft SQL Server 2008 R2 та SQL Server 2012 (принаймні стандартний) обидва не запускатимуться, якщо ці нижчі протоколи відключені. Однак зростає кількість версій MS SQL Server. Існують стандартні версії SQL Server, Business Intelligence, Enterprise, Express, Web та Compact. І звичайно, є SQL Server 2008, 2012, 2014 та (у попередньому випуску) 2016.

Яке з цих видань підтримує або підтримуватиме використання лише протоколів TLS1.1 або новіших версій?


Як додаткове зауваження: вимоги PCI тут охоплюють загальну передачу даних, тому перенесення будь-яких комунікацій SQL через публічні та / або бездротові мережі в VPN / тунель, що реалізує кращі стандарти, повинно бути достатнім. Вони також можуть взагалі не охоплювати місцеві комунікації; тому якщо нічого, що знаходиться поза вашою VLAN, навіть не може торкнутися екземпляра SQL через відповідну конфігурацію SQL та / або брандмауери та іншу фільтрацію, можливо, вам не потрібно буде побоюватися від цього PoV. Жоден із цих фактів не допоможе вам, якщо вам, звичайно, потрібно виставити екземпляр SQL публічній мережі, але ця ідея мене все одно лякає!
Девід Спіллетт

Відповіді:


19

Microsoft нещодавно виявила (без великої кількості шансів), що вони будуть інвестувати в TLS 1.2 та припиняти SSL. Він повинен відповідати всім виданням SQL Server.

ОНОВЛЕННЯ 2016-01-29 : Microsoft оголосила про офіційну підтримку TLS 1.2 у 2008, 2008 R2, 2012 та 2014 роках . Завантаження та іншу інформацію можна знайти в KB # 3135244 .

Я блогів про деякі згадані проблеми, а також попередження, якщо ви використовуєте зашифровані кінцеві точки у 2014 році:

Допис також вказує на правильну збірку для завантаження (або іншу дію) залежно від версії @@.

Чи вплине цей крок на всі існуючі версії - лише на 2014 рік і вище, чи лише на 2016 рік - ще не з’ясовано. Цитата нижче, мабуть, передбачає, що принаймні 2014 рік буде частиною роботи - і я підозрюю, що значна частина інвестицій буде в бібліотеках клієнтів, а не в двигуні, тому можливо, що вона буде працювати для будь-якої версії, що наступного випуску драйверів ODBC / Native Client підтримуватимуть.

Я отримав це з колоди PowerPoint Кевіна Фарлі з Microsoft, і мені було надано дозвіл на обмін інформацією, хоча я не знаю, скільки її було перерозподілено на даний момент. Ось точна цитата з колоди:

Шифрування під час польоту: захищає дані між клієнтом і сервером від нападів і атаки "людиною в середині". Оновлення до TLS 1.2 у CY 15, поетапне припинення SSL.

Крім того, якщо ви подивитеся на KB # 3052404 , то, здається, є патчі, щоб змусити його працювати з SP + 2012 та 2014 (патчі не будуть потрібні для 2016 року), але немає вказівки на те, що не буде зворотного перенесення на SQL Server 2005, 2008 або 2008 R2 (і, чесно кажучи, я був би дуже здивований).


6

Як і в інших відповідях: вам потрібен останній МС для TLS1.2. Побачити:

Виправлення: Ви не можете використовувати протокол протоколу безпеки версії 1.2 для підключення до сервера, на якому працює SQL Server 2014 або SQL Server 2012 :

  • Сукупне оновлення 1 для SQL Server 2014 SP1
  • Сукупне оновлення 8 для SQL Server 2014
  • Сукупне оновлення 1 для SQL Server 2012 SP3
  • Сукупне оновлення 10 для SQL Server 2012 SP2

Увімкнувши лише TLS 1.2, ви, можливо, зіткнетесь з двома помилками:

  1. Агент SQL Server 2014 не запуститься. Рішення: встановіть SNAC SQL Server 2012 за посиланням для завантаження у KB3135244
  2. Студія управління SQL Server не може підключитися. Рішення: Встановіть відповідне виправлення .NET Framework з KB3135244

Крім того, вам необхідно оновити драйвер SNAC / OBDC для всіх клієнтів, що підключаються до SQL Server.

Повний список складених SQL Server і клієнтських драйверів, а також посилання на завантаження та інші зміни конфігурації, які можуть знадобитися, містяться в наступній статті бази знань Microsoft Support:

Підтримка TLS 1.2 для Microsoft SQL Server


Чому так, що я все ще не можу запустити SQL Server 2012 навіть із встановленим накопичувальним оновленням 1 для SQL Server 2012 SP3?
NickG

4

Станом на 29 січня 2016 року Microsoft SQL Server підтримує TLS 1.2 для:

  • SQL Server 2008
  • SQL Server 2008 R2
  • SQL Server 2012; і
  • SQL Server 2014

... і основні драйвери клієнтів, як:

  • Рідний клієнт сервера
  • Драйвер Microsoft ODBC для SQL Server
  • Драйвер Microsoft JDBC для SQL Server
  • ADO.NET (SqlClient).

Повідомлення в блозі інженерної команди SQL Server про випуск:

TLS 1.2 Підтримка SQL Server 2008, 2008 R2, 2012 та 2014

Список збірок, які підтримують TLS 1.2, а також місця завантаження клієнтських та серверних компонентів (KB3135244):

Підтримка TLS 1.2 для Microsoft SQL Server (включає виправлення .NET для DB Mail)

Примітка: вищезазначене оновлено з моменту початкового випуску для усунення дефекту в оригінальному оновлення, яке спричинило переривчасте припинення послуги при підключенні до екземпляра SQL Server 2008 або SQL Server 2008 R2 . Це описано в KB 3146034:

Переривчасті завершення служби відбуваються після встановлення будь-якої версії SQL Server 2008 або SQL Server 2008 R2 з KB3135244


2

Я можу підтвердити, що як SQL 2012 SP2 CU7, який підтримує TLS 1.2 для SQL 2012 від CU6, ви не можете відключити TLS 1.0 на рівні сервера і бути в змозі підключитися до SQL сервера за допомогою незашифрованого підключення студії управління в екземплярі що не примушує шифрування клієнта.

Це на примірник, який не використовує TDE або інші сертифікати.

Я спробую завтра після створення довіреного сертифіката для сервера та ввімкнення зашифрованих з'єднань, але на даний момент TLS 1.0 не можна відключити в SQL 2012, хоча він підтримує TLS 1.2.

Редагувати:

Я створив сертифікат для сервера баз даних з нашого внутрішнього органу сертифікації і зміг встановити зашифроване підключення студії управління до SQL-сервера, поки не було відключено протокол TLS 1.0, в який момент я вже не зміг підключитися. Для шифрування сеансу входу використовується та ж поведінка, що і тоді, коли немає cert та самопідписаний cert.


2

Я виявив, що навіть із SQL 2014 SP1 CU1 мені довелося використовувати окремі поля для IIS та SQL. Я зіткнувся з кількома проблемами, очевидно пов'язаними з цим, і детально описав кроки в цій публікації .

Ключові моменти:

  • Помістіть IIS та SQL в окремі поля
  • Вимкніть вхідний TLS1.0 та увімкніть вихідний TLS1.0 у вікні IIS
  • Увімкніть TLS1.0 обома способами у вікні SQL.

1

Ось що я робив як на передньому, так і на задньому серверах

  1. Відкрити gpedit.msc. У локальному редакторі групової політики двічі клацніть «Налаштування Windows» у вузлі «Конфігурація комп’ютера», а потім двічі клацніть «Параметри безпеки».

  2. У вузлі "Налаштування безпеки" двічі клацніть "Місцеві політики", а потім натисніть "Параметри безпеки".

  3. На панелі деталей двічі клацніть «Системна криптографія: Використовуйте алгоритми, сумісні з FIPS для шифрування, хешування та підпису».

  4. У діалоговому вікні «Системна криптографія: використовуйте алгоритми, сумісні з FIPS для шифрування, хешування та підпису», натисніть «Увімкнено», а потім натисніть «ОК», щоб закрити діалогове вікно. Закрийте Редактор локальної групової політики.


Я припускаю , що це на адресу , як налаштувати TLS 1.2, на відміну від фактичного початкового питання, про те, які версії SQL Server роблять підтримки щось більше , ніж TLS 1.0, можливо , на веб - сервер з SQL бекенда? Якщо можливо, уточнюйте це у самій відповіді.
RDFozz

Дякую, але ... У первісному питанні я спробував зробити це дещо загальним, але насправді це було пов'язане з узгодженням мінімальної вимоги та набору технологій ще в середині 2015 року, коли воно було поставлене. Це стало настільки датовим, що я думаю, що його слід закрити. Будь-які відповіді на кшталт цього вище, ймовірно, повинні бути націлені на якусь нову версію питання, яка краще стосується сьогоднішніх питань. В даний час у мене немає такого питання.
Марк Голдфайн
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.