SQL Serverと新しいTLS標準との互換性


30
  • 主要なブラウザはSSL3.0およびTLS1.0を超えています。
  • PCIセキュリティ評議会は、これらのプロトコルが十分に強力な暗号化と見なされるためのサポート終了日を宣言しています。

新しい強力なプロトコルを使用するには、これらのプロトコルから離れる必要があります。Windowsサーバーでは、これらの古いプロトコルを簡単に無効にして、代わりにTLS1.1以上のみを提供できます。ただし、別の箇所で述べたように、Microsoft SQL Server 2008 R2とSQL Server 2012(少なくとも標準)は、これらの下位プロトコルが無効になっている場合、両方とも起動しません。ただし、MS SQL Serverのバージョンは増え続けています。SQL Server Standard、Business Intelligence、Enterprise、Express、Web、およびCompactエディションがあります。そしてもちろん、SQL Server 2008、2012、2014、および(プレリリース版)2016があります。

これらのエディションのどれがTLS1.1以上のプロトコルのみの使用をサポートしていますか、またはサポートしますか?


補足説明として、ここでのPCI要件はデータ転送全体を対象としているため、より優れた標準を実装するVPN /トンネルでパブリックネットワークやワイヤレスネットワーク上にSQL通信をラップするだけで十分です。また、ローカル通信もまったくカバーしていません。したがって、適切なSQL構成やファイアウォールやその他のフィルタリングのために、VLANの外部でSQLインスタンスに触れることさえできない場合は、このPoVを気にする必要はありません。もちろん、SQLインスタンスをパブリックネットワークに公開する必要がある場合、これらの事実は役に立ちませんが、その考えはとにかく私を怖がらせます!
デビッドスピレット

回答:


19

マイクロソフトは最近、彼らがTLS 1.2に投資し、SSLを段階的に廃止することを(多くのファンファーレなしで)明らかにしました。SQL Serverのすべてのエディションに関連する必要があります。

更新2016-01-29マイクロソフトは、TLS 1.2の公式サポートを2008、2008 R2、2012、2014で発表しました。ダウンロードおよびその他の情報はKB#3135244にあります。

2014年に暗号化されたエンドポイントを使用している場合の警告だけでなく、言及された問題のいくつかについてブログに書きました。

この投稿は、@@ versionに応じて、ダウンロードする正しいビルド(または他のアクション)も示しています。

この動きが既存のすべてのバージョンに影響を与えるかどうかは、2014年以降、または2016年のみです。以下の引用は、少なくとも2014年が作業の一部になることを示唆しているようです-そして、投資の多くはエンジンではなくクライアントライブラリにあると思われるので、次のリリースのどのバージョンでも動作する可能性がありますODBC /ネイティブクライアントドライバーのサポート。

MicrosoftのKevin FarleeによるPowerPointデッキからこれを入手し、情報を共有する許可を与えられましたが、現時点でどれだけ再配布されたかはわかりません。デッキからの正確な引用は次のとおりです。

飛行中の暗号化:クライアントとサーバー間のデータをスヌーピングおよび中間者攻撃から保護します。15年目のTLS 1.2へのアップグレード、SSLの段階的廃止。

また、KB#3052404を見ると、2012 SP +および2014で動作するパッチがあるようです(2016年にはパッチは必要ありません) 、または2008 R2(率直に言って、私は非常に驚くでしょう)。


6

他の回答と同様に、TLS1.2には最新のCUが必要です。見る:

修正:トランスポート層セキュリティプロトコルバージョン1.2を使用して、SQL Server 2014またはSQL Server 2012を実行しているサーバーに接続することはできません

  • SQL Server 2014 SP1用の累積的な更新1
  • SQL Server 2014の累積的な更新8
  • SQL Server 2012 SP3用の累積的な更新1
  • SQL Server 2012 SP2用の累積的な更新10

TLS 1.2のみを有効にすると、2つのエラーが発生する可能性があります。

  1. SQL Server 2014エージェントは起動しません。解決策:KB3135244のダウンロードリンクからSQL Server 2012 SNACをインストールします
  2. SQL Server Management Studioは接続できません。解決策:KB3135244から適切な.NET frameworkホットフィックスをインストールします

さらに、SQL Serverに接続するすべてのクライアントでSNAC / OBDCドライバーを更新する必要があります。

SQL Serverおよびクライアントドライバーのビルドの完全なリスト、ダウンロードリンク、および必要なその他の構成の変更は、次のマイクロソフトサポート技術情報の記事に含まれています。

Microsoft SQL ServerのTLS 1.2サポート


SQL Server 2012 SP3用の累積的な更新プログラム1をインストールしても、まだSQL Server 2012を起動できないのはなぜですか?
NickG

4

2016年1月29日の時点で、Microsoft SQL Serverは次のTLS 1.2をサポートしています。

  • SQL Server 2008
  • SQL Server 2008 R2
  • SQL Server 2012; そして
  • SQL Server 2014

...および次のような主要なクライアントドライバー:

  • サーバーネイティブクライアント
  • SQL Server用のMicrosoft ODBCドライバー
  • SQL Server用のMicrosoft JDBCドライバー
  • ADO.NET(SqlClient)。

SQL Serverエンジニアリングチームによるリリースに関するブログ投稿:

SQL Server 2008、2008 R2、2012、2014のTLS 1.2サポート

クライアントおよびサーバーコンポーネントのダウンロード場所と共にTLS 1.2をサポートするビルドのリスト(KB3135244):

Microsoft SQL ServerのTLS 1.2サポート(DBメールの.NET修正を含む)

注:上記は、最初のリリース以降、SQL Server 2008またはSQL Server 2008 R2のインスタンスに接続するときに断続的なサービス終了を引き起こす元の更新の欠陥に対処するために更新されました。これはKB 3146034で説明されています。

KB3135244からSQL Server 2008またはSQL Server 2008 R2バージョンをインストールすると、サービスが断続的に終了する


2

CU6からSQL 2012のTLS 1.2をサポートするSQL 2012 SP2 CU7として、サーバーレベルでTLS 1.0を無効にできず、インスタンスで暗号化されていない管理スタジオ接続を使用してSQLサーバーに接続できることを確認できますクライアントの暗号化は強制されません。

これは、TDEまたは他の証明書を使用しないインスタンス上にあります。

サーバーの信頼できる証明書を生成し、暗号化された接続を有効にした後、明日試してみますが、TLS 1.2をサポートしていても、現時点ではSQL 1.0でTLS 1.0を無効にすることはできません。

編集:

内部認証局からデータベースサーバーの証明書を生成し、TLS 1.0プロトコルが無効になり接続できなくなるまで、SQLサーバーへの暗号化された管理スタジオ接続を確立できました。証明書および自己署名証明書を持たない場合と同じ動作が、ログインセッションの暗号化に使用されます。


2

SQL 2014 SP1 CU1でも、IISとSQLに別々のボックスを使用する必要がありました。途中でいくつかの明らかに関連する問題に遭遇し、この投稿で手順を詳しく説明しました。

キーポイントは次のとおりです。

  • IISとSQLを別々のボックスに配置する
  • IISボックスで着信TLS1.0を無効にし、発信TLS1.0を有効にします
  • SQLボックスで両方の方法でTLS1.0を有効にします。

1

これが、フロントサーバーとバックサーバーの両方で行ったことです。

  1. オープンgpedit.msc。ローカルグループポリシーエディターで、[コンピューターの構成]ノードの下にある[Windowsの設定]をダブルクリックし、[セキュリティの設定]をダブルクリックします。

  2. [セキュリティ設定]ノードの下で、[ローカルポリシー]をダブルクリックし、[セキュリティオプション]をクリックします。

  3. 詳細ウィンドウで、[システム暗号化:暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用する]をダブルクリックします。

  4. [システム暗号化:暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用する]ダイアログボックスで、[有効]をクリックし、[OK]をクリックしてダイアログボックスを閉じます。ローカルグループポリシーエディターを閉じます。


これは、おそらくSQLバックエンドを備えたWebサーバー上で、SQL ServerのどのバージョンがTLS 1.0を超えるものをサポートするかという実際の元の質問とは対照的に、TLS 1.2をセットアップする方法に対処するためだと思いますか?可能であれば、答え自体でこれを明確にしてください。
RDFozz

感謝しますが...元の質問では、私はそれをやや一般的なものにしようとしましたが、それは2015年中頃に提起された最小要件と一連のテクノロジーのマッチングに本当に関係していました。今では時代遅れになっているので、閉鎖すべきだと思います。上記のような回答は、おそらく今日の問題によりよく当てはまる質問の新しいバージョンを対象とする必要があります。私は現在、そのような質問はありません。
マークゴールドファイン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.