नई टीएलएस मानकों के साथ एसक्यूएल सर्वर संगतता


30
  • प्रमुख ब्राउज़र SSL3.0 और TLS1.0 से आगे बढ़ रहे हैं।
  • पीसीआई सिक्योरिटी काउंसिल ने इन प्रोटोकॉल को पर्याप्त रूप से मजबूत एन्क्रिप्शन माना जाने के लिए जीवन की समाप्ति तिथि घोषित की है।

हमें नए और मजबूत लोगों का उपयोग करने के लिए इन प्रोटोकॉल से दूर जाने की जरूरत है। विंडोज सर्वर पर, आप बहुत आसानी से इन पुराने प्रोटोकॉल को अक्षम कर सकते हैं, और इसके बजाय केवल TLS1.1 या इससे अधिक की पेशकश कर सकते हैं। हालाँकि, जैसा कि कहीं और कहा गया है , Microsoft SQL Server 2008 R2 और SQL Server 2012 (मानक, कम से कम) दोनों शुरू नहीं होंगे यदि उन निचले प्रोटोकॉल को अक्षम किया गया है। हालाँकि, MS SQL सर्वर के संस्करणों की संख्या बढ़ रही है। SQL सर्वर स्टैंडर्ड, बिजनेस इंटेलिजेंस, एंटरप्राइज, एक्सप्रेस, वेब और कॉम्पैक्ट एडिशन हैं। और निश्चित रूप से SQL Server 2008, 2012, 2014 और (पूर्व-रिलीज़ में) 2016 है।

इनमें से कौन सा संस्करण केवल TLS1.1 या अधिक प्रोटोकॉल के उपयोग का समर्थन या समर्थन करेगा?


एक साइड नोट के रूप में: यहां पीसीआई की आवश्यकताएं समग्र डेटा ट्रांसमिशन को कवर करती हैं, इसलिए किसी वीपीएन / सुरंग में सार्वजनिक और / या वायरलेस नेटवर्क पर किसी भी एसक्यूएल कॉम्पट को लपेटना बेहतर मानकों को लागू करता है। वे स्थानीय संचार को भी कवर नहीं कर सकते हैं; इसलिए यदि आपके वीएलएएन के बाहर कुछ भी उचित SQL कॉन्फ़िगरेशन और / या फ़ायरवॉल और अन्य फ़िल्टरिंग के कारण SQL इंस्टेंस को नहीं छू सकता है, तो आपको इस पीओवी से चिंतित होने की आवश्यकता नहीं हो सकती है। अगर आपको सार्वजनिक रूप से नेटवर्क के लिए SQL उदाहरण को उजागर करने की आवश्यकता है, तो इन तथ्यों में से कोई भी आपकी मदद नहीं करता है, लेकिन यह विचार मुझे वैसे भी डराता है!
डेविड स्पिललेट

जवाबों:


19

Microsoft ने हाल ही में (बहुत अधिक धूमधाम के बिना) खुलासा किया है कि वे TLS 1.2 में निवेश करेंगे और एसएसएल को चरणबद्ध करेंगे। यह SQL सर्वर के सभी संस्करणों के लिए प्रासंगिक होना चाहिए।

अद्यतन 2016-01-29 : Microsoft ने 2008, 2008 R2, 2012 और 2014 में TLS 1.2 के लिए आधिकारिक समर्थन की घोषणा की है । डाउनलोड और अन्य जानकारी KB # 3135244 में देखी जा सकती है ।

मैंने उन कुछ मुद्दों के बारे में ब्लॉग किया है जिनका उल्लेख किया गया है, साथ ही चेतावनी भी दी गई है कि क्या आप 2014 में एन्क्रिप्टेड एंडपॉइंट का उपयोग कर रहे हैं:

पोस्ट @@ संस्करण के आधार पर डाउनलोड (या अन्य कार्रवाई) के लिए सही बिल्ड की ओर भी इशारा करता है।

क्या यह कदम सभी मौजूदा संस्करणों को प्रभावित करेगा, सिर्फ 2014 और उससे ऊपर या सिर्फ 2016, अभी भी देखा जाना बाकी है। नीचे दिए गए उद्धरण से लगता है कि कम से कम 2014 काम का हिस्सा होगा - और मुझे संदेह है कि बहुत अधिक निवेश क्लाइंट पुस्तकालयों में होगा, इंजन में नहीं, इसलिए यह संभव है कि यह किसी भी संस्करण के लिए काम करेगा कि अगली रिलीज ODBC / Native क्लाइंट ड्राइवरों का समर्थन करेगा।

मुझे यह माइक्रोसॉफ्ट के केविन फ़ार्ले द्वारा एक पावरपॉइंट डेक से मिला है, और जानकारी साझा करने की अनुमति दी गई थी, हालांकि मुझे नहीं पता कि इस बिंदु पर इसका कितना पुनर्वितरण किया गया है। यहाँ डेक से सटीक उद्धरण है:

फ्लाइट में एन्क्रिप्शन: स्नूपिंग और मैन-इन-द-बीच हमलों के खिलाफ क्लाइंट और सर्वर के बीच डेटा की सुरक्षा करता है। SSL से चरणबद्ध होकर CY 15 में TLS 1.2 में अपग्रेड करना।

इसके अलावा अगर आप KB # 3052404 को देखते हैं , तो ऐसा लगता है कि इसे 2012 SP + और 2014 के साथ काम करने के लिए पैच हैं (2016 के लिए पैच की आवश्यकता नहीं होगी), लेकिन SQL सर्वर 2005, 2008 में कोई भी बैक-पोर्टिंग नहीं होगी। या 2008 R2 (और स्पष्ट रूप से, मुझे काफी आश्चर्य होगा)।


6

अन्य उत्तरों की तरह: आपको TLS1.2 के लिए हाल ही में CU की आवश्यकता है। देख:

FIX: आप SQL Server 2014 या SQL Server 2012 चला रहे सर्वर से कनेक्ट करने के लिए ट्रांसपोर्ट लेयर सुरक्षा प्रोटोकॉल संस्करण 1.2 का उपयोग नहीं कर सकते :

  • SQL Server 2014 SP1 के लिए संचयी अद्यतन 1
  • SQL Server 2014 के लिए संचयी अद्यतन 8
  • SQL Server 2012 SP3 के लिए संचयी अद्यतन 1
  • SQL Server 2012 SP2 के लिए संचयी अद्यतन 10

केवल TLS 1.2 को सक्षम करने के बाद आप संभवतः दो त्रुटियों का सामना करेंगे:

  1. SQL सर्वर 2014 एजेंट प्रारंभ नहीं होगा। समाधान: KB3135244 में डाउनलोड लिंक से SQL Server 2012 SNAC स्थापित करें
  2. SQL सर्वर प्रबंधन स्टूडियो कनेक्ट नहीं कर सकता। समाधान: KB3135244 से लागू .NET .NET हॉटफ़िक्स स्थापित करें

इसके अलावा आपको SQL सर्वर से कनेक्ट होने वाले सभी क्लाइंट पर SNAC / OBDC ड्राइवर को अपडेट करना होगा।

SQL सर्वर और क्लाइंट ड्राइवर की पूरी सूची, डाउनलोड लिंक के साथ, और अन्य कॉन्फ़िगरेशन परिवर्तन जो आवश्यक हो सकते हैं, निम्न Microsoft समर्थन ज्ञानकोष आलेख में समाहित हैं:

Microsoft SQL सर्वर के लिए TLS 1.2 समर्थन


ऐसा क्यों है कि मैं अभी भी SQL Server 2012 SP3 स्थापित के लिए संचयी अद्यतन 1 के साथ भी SQL Server 2012 को प्रारंभ नहीं कर सकता हूँ?
NickG

4

29 जनवरी 2016 तक, Microsoft SQL सर्वर TLS 1.2 का समर्थन करता है:

  • SQL सर्वर 2008
  • SQL सर्वर 2008 R2
  • SQL सर्वर 2012; तथा
  • SQL सर्वर 2014

... और प्रमुख क्लाइंट ड्राइवर जैसे:

  • सर्वर मूल निवासी क्लाइंट
  • SQL सर्वर के लिए Microsoft ODBC ड्राइवर
  • Microsoft JDBC ड्राइवर SQL सर्वर के लिए
  • ADO.NET (SqlClient)।

रिलीज के बारे में SQL सर्वर इंजीनियरिंग टीम द्वारा ब्लॉग पोस्ट:

SQL Server 2008, 2008 R2, 2012 और 2014 के लिए TLS 1.2 समर्थन

ग्राहक और सर्वर घटक डाउनलोड स्थानों (KB3135244) के साथ TLS 1.2 का समर्थन करने वाले बिल्ड की सूची:

Microsoft SQL सर्वर के लिए TLS 1.2 समर्थन (DB मेल के लिए .NET फ़िक्सेस शामिल हैं)

नोट: मूल अद्यतन में एक दोष को संबोधित करने के लिए प्रारंभिक रिलीज़ के बाद से ऊपर अद्यतन किया गया है जो SQL Server 2008 या SQL Server 2008 R2 की आवृत्ति से कनेक्ट करते समय रुक-रुक कर सेवा समाप्ति का कारण बनता है । यह KB 3146034 में वर्णित है:

KB3135244 से किसी SQL Server 2008 या SQL Server 2008 R2 संस्करणों को स्थापित करने के बाद रुक-रुक कर सेवा समाप्ति होती है


2

मैं पुष्टि कर सकता हूं कि SQL 2012 SP2 CU7 के रूप में, जिसमें CU6 से SQL 2012 के लिए TLS 1.2 समर्थन है, आप सर्वर स्तर पर TLS 1.0 को अक्षम नहीं कर सकते हैं और एक उदाहरण पर एक अन-इनक्रिप्टेड मैनेजमेंट स्टूडियो कनेक्शन का उपयोग करके SQL सर्वर से कनेक्ट करने में सक्षम हो सकते हैं। जो ग्राहक एन्क्रिप्शन को मजबूर नहीं करता है।

यह एक ऐसे उदाहरण पर है जो TDE या अन्य प्रमाणपत्रों का उपयोग नहीं करता है।

मैं सर्वर के लिए एक विश्वसनीय प्रमाण पत्र बनाने और एन्क्रिप्टेड कनेक्शन को सक्षम करने के बाद कल कोशिश करूंगा, लेकिन इस समय टीएलएस 1.0 को एसक्यूएल 2012 पर अक्षम नहीं किया जा सकता है, भले ही यह टीएलएस 1.2 का समर्थन करता है।

संपादित करें:

मैंने हमारे आंतरिक प्रमाणपत्र प्राधिकरण से डेटाबेस सर्वर के लिए एक प्रमाण पत्र बनाया और SQL सर्वर के लिए एक एन्क्रिप्टेड प्रबंधन स्टूडियो कनेक्शन स्थापित करने में सक्षम था, जब तक कि टीएलएस 1.0 प्रोटोकॉल अक्षम नहीं था, जिस बिंदु पर मैं अब कनेक्ट करने में सक्षम नहीं था। लॉगिन सत्र को एन्क्रिप्ट करने के लिए एक प्रमाणित और स्व-हस्ताक्षरित प्रमाण पत्र नहीं होने पर समान व्यवहार।


2

मैंने पाया, SQL 2014 SP1 CU1 के साथ भी, मुझे IIS और SQL के लिए अलग-अलग बॉक्स का उपयोग करना पड़ा। मैं रास्ते में कुछ स्पष्ट रूप से संबंधित समस्याओं में भाग गया, और इस पोस्ट में चरणों को विस्तृत किया ।

प्रमुख बिंदु हैं:

  • IIS और SQL को अलग-अलग बॉक्स पर रखें
  • आने वाली TLS1.0 को अक्षम करें और IIS बॉक्स पर आउटगोइंग TLS1.0 को सक्षम करें
  • SQL बॉक्स पर TLS1.0 दोनों तरीकों को सक्षम करें।

1

यहाँ है कि मैंने फ्रंट और बैक दोनों सर्वरों पर क्या किया

  1. खोलो gpedit.msc। स्थानीय समूह नीति संपादक में, "कंप्यूटर कॉन्फ़िगरेशन" नोड के तहत "विंडोज सेटिंग्स" पर डबल-क्लिक करें, और फिर "सुरक्षा सेटिंग्स" पर डबल-क्लिक करें।

  2. "सुरक्षा सेटिंग्स" नोड के तहत, "स्थानीय नीतियां" पर डबल-क्लिक करें, और फिर "सुरक्षा विकल्प" पर क्लिक करें।

  3. विवरण फलक में, "सिस्टम क्रिप्टोग्राफ़ी: एन्क्रिप्शन, हैशिंग और साइनिंग के लिए FIPS-अनुरूप एल्गोरिदम का उपयोग करें" पर डबल-क्लिक करें।

  4. "सिस्टम क्रिप्टोग्राफ़ी: एन्क्रिप्शन, हैशिंग और साइन इन करने के लिए FIPS-अनुरूप एल्गोरिदम का उपयोग करें" डायलॉग बॉक्स पर, "सक्षम" पर क्लिक करें और फिर डायलॉग बॉक्स को बंद करने के लिए "ओके" पर क्लिक करें। स्थानीय समूह नीति संपादक को बंद करें।


मुझे लगता है कि यह पता लगाने के लिए है कि टीएलएस 1.2 को कैसे स्थापित किया जाए, वास्तविक मूल प्रश्न के विपरीत, एसक्यूएल सर्वर के कौन से संस्करण टीएलएस 1.0 से परे कुछ का समर्थन करते हैं , शायद एक एसक्यूएल बैकएंड वाले वेबसर्वर पर? यदि संभव हो, तो कृपया उत्तर में ही इसे स्पष्ट करें।
RDFozz

धन्यवाद, लेकिन ... मूल प्रश्न में, मैंने इसे कुछ हद तक सामान्य बनाने की कोशिश की, लेकिन यह वास्तव में न्यूनतम आवश्यकता और प्रौद्योगिकियों के एक सेट के साथ 2015 के मध्य में वापस आ गया था जब इसे लगाया गया था। यह अब इतना दिनांकित हो गया है कि मुझे लगता है कि इसे बंद कर देना चाहिए। इस तरह के किसी भी उत्तर को संभवतः उस प्रश्न के कुछ नए संस्करण पर लक्षित किया जाना चाहिए जो आज के मुद्दों पर बेहतर लागू होता है। मेरे पास वर्तमान में ऐसा कोई प्रश्न नहीं है, मैं स्वयं ऐसा हूँ।
मार्क गोल्डफैन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.