- Die wichtigsten Browser gehen über SSL3.0 und TLS1.0 hinaus.
- Der PCI-Sicherheitsrat hat ein Ablaufdatum für diese Protokolle als ausreichend starke Verschlüsselung festgelegt.
Wir müssen uns von diesen Protokollen entfernen, um neuere und stärkere Protokolle zu verwenden. Auf Windows-Servern können Sie diese alten Protokolle sehr einfach deaktivieren und bieten stattdessen nur TLS1.1 oder höher an. Wie jedoch festgestellt , an anderer Stelle , Microsoft SQL Server 2008 R2 und SQL Server 2012 (Standard, zumindest) , die beide nicht gestartet werden, wenn diese niedrigen Protokolle deaktiviert sind. Es gibt jedoch eine wachsende Anzahl von Versionen von MS SQL Server. Es gibt die Editionen SQL Server Standard, Business Intelligence, Enterprise, Express, Web und Compact. Und natürlich gibt es SQL Server 2008, 2012, 2014 und (in der Vorabversion) 2016.
Welche dieser Editionen unterstützt oder unterstützt nur die Verwendung von TLS1.1- oder höheren Protokollen?
quelle
Antworten:
Microsoft hat kürzlich (ohne große Aufregung) bekannt gegeben, dass sie in TLS 1.2 investieren und SSL auslaufen lassen werden. Es sollte für alle Editionen von SQL Server relevant sein.
UPDATE 29.01.2016 : Microsoft hat die offizielle Unterstützung für TLS 1.2 in den Jahren 2008, 2008 R2, 2012 und 2014 angekündigt . Downloads und weitere Informationen finden Sie in KB # 3135244 .
Ich habe über einige der genannten Probleme gebloggt sowie eine Warnung, wenn Sie 2014 verschlüsselte Endpunkte verwenden:
Der Beitrag verweist auch auf den richtigen Build zum Herunterladen (oder eine andere Aktion), abhängig von der @@ Version.
Es bleibt abzuwarten, ob sich dieser Schritt auf alle bestehenden Versionen ab 2014 oder ab 2016 auswirkt.Das folgende Zitat scheint zu implizieren, dass mindestens 2014 Teil der Arbeit sein wird - und ich vermute, dass ein Großteil der Investition in die Client-Bibliotheken und nicht in die Engine fließen wird. Es ist also möglich, dass es für jede Version der nächsten Version funktioniert der ODBC / Native Client-Treiber werden unterstützt.Ich habe dies von einem PowerPoint-Deck von Kevin Farlee von Microsoft erhalten und die Erlaubnis erhalten, die Informationen weiterzugeben, obwohl ich nicht weiß, wie viel davon zu diesem Zeitpunkt neu verteilt wurde. Hier ist das genaue Zitat aus dem Deck:
Wenn Sie sich KB # 3052404 ansehen , scheinen Patches für 2012 SP + und 2014 vorhanden zu sein (für 2016 sind keine Patches erforderlich), es wird jedoch keine Rückportierung auf SQL Server 2005, 2008 angezeigt oder 2008 R2 (und ehrlich gesagt, wäre ich ziemlich überrascht).quelle
Wie bei den anderen Antworten: Sie benötigen eine aktuelle CU für TLS1.2. Sehen:
UPDATE: Sie können das Transport Layer Security-Protokoll Version 1.2 nicht verwenden, um eine Verbindung zu einem Server herzustellen, auf dem SQL Server 2014 oder SQL Server 2012 ausgeführt wird :
Wenn Sie nur TLS 1.2 aktivieren, treten möglicherweise zwei Fehler auf:
Außerdem müssen Sie den SNAC / OBDC-Treiber auf allen Clients aktualisieren, die eine Verbindung zum SQL Server herstellen.
Die vollständige Liste der erstellten SQL Server- und Client-Treiber sowie Download-Links und andere Konfigurationsänderungen, die möglicherweise erforderlich sind, finden Sie im folgenden Microsoft Support Knowledge Base-Artikel:
TLS 1.2-Unterstützung für Microsoft SQL Server
quelle
Seit dem 29. Januar 2016 unterstützt Microsoft SQL Server TLS 1.2 für:
... und wichtige Kunden wie:
Blogbeitrag des SQL Server Engineering-Teams zum Release:
TLS 1.2-Unterstützung für SQL Server 2008, 2008 R2, 2012 und 2014
Liste der Builds, die TLS 1.2 unterstützen, zusammen mit den Download-Speicherorten für Client- und Serverkomponenten (KB3135244):
TLS 1.2-Unterstützung für Microsoft SQL Server (enthält .NET-Fixes für DB Mail)
Hinweis: Die obigen Informationen wurden seit der ersten Version aktualisiert, um einen Fehler im ursprünglichen Update zu beheben, der zu einer zeitweiligen Beendigung des Dienstes führte, wenn eine Verbindung zu einer Instanz von SQL Server 2008 oder SQL Server 2008 R2 hergestellt wurde . Dies ist in KB 3146034 beschrieben:
Zeitweilige Dienstbeendigungen treten auf, nachdem Sie SQL Server 2008- oder SQL Server 2008 R2-Versionen von KB3135244 installiert haben
quelle
Ich kann bestätigen, dass Sie als SQL 2012 SP2 CU7, das TLS 1.2 für SQL 2012 ab CU6 unterstützt, TLS 1.0 auf Serverebene nicht deaktivieren und über eine unverschlüsselte Management Studio-Verbindung auf einer Instanz eine Verbindung zu SQL Server herstellen können Dies erzwingt keine Client-Verschlüsselung.
Dies ist eine Instanz, die kein TDE oder andere Zertifikate verwendet.
Ich werde es morgen nach dem Generieren eines vertrauenswürdigen Zertifikats für den Server und dem Aktivieren verschlüsselter Verbindungen versuchen. Derzeit kann TLS 1.0 in SQL 2012 nicht deaktiviert werden, obwohl TLS 1.2 unterstützt wird.
Bearbeiten:
Ich habe von unserer internen Zertifizierungsstelle ein Zertifikat für den Datenbankserver erstellt und konnte eine verschlüsselte Management Studio-Verbindung zum SQL Server herstellen, bis das TLS 1.0-Protokoll deaktiviert wurde. Zu diesem Zeitpunkt konnte keine Verbindung mehr hergestellt werden. Zum Verschlüsseln der Anmeldesitzung wird dasselbe Verhalten wie beim Fehlen eines Zertifikats und eines selbstsignierten Zertifikats verwendet.
quelle
Selbst mit SQL 2014 SP1 CU1 musste ich separate Boxen für IIS und SQL verwenden. Ich bin auf ein paar Probleme gestoßen, die anscheinend auf dem Weg waren, und habe die Schritte in diesem Beitrag detailliert beschrieben .
Die wichtigsten Punkte sind:
quelle
Hier ist, was ich auf Front- und Backservern gemacht habe
Öffnen
gpedit.msc
. Doppelklicken Sie im lokalen Gruppenrichtlinien-Editor unter dem Knoten "Computerkonfiguration" auf "Windows-Einstellungen" und doppelklicken Sie dann auf "Sicherheitseinstellungen".Doppelklicken Sie unter "Sicherheitseinstellungen" auf "Lokale Richtlinien" und klicken Sie dann auf "Sicherheitsoptionen".
Doppelklicken Sie im Detailbereich auf "Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen für die Verschlüsselung, das Hashing und das Signieren".
Klicken Sie im Dialogfeld "Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung" auf "Aktiviert" und dann auf "OK", um das Dialogfeld zu schließen. Schließen Sie den lokalen Gruppenrichtlinien-Editor.
quelle