Frågor och svar

Tillbaka
Sökord:  

Teknisk information om TLS för databaser

TLS med MySQL är tekniskt komplext och krävande att förstå.Denna information är här för tekniskt avancerade kunder som vill ta reda på och åtgärda problem med sin TLS-anslutning till en databas.

TLS-versioner, chiffer och implementeringar

För MySQL 5.7 och MariaDB 10.3 har vi av kompatibilitetsskäl valt att endast stödja DHE-RSA-AES256-SHA . Om du har problem med att ansluta till en klient som du vet stöder TLS v1.0, v1.1 eller v1.2, och du fortfarande inte kan logga in med TLS påslagen, kontrollera att DHE-RSA-AES256-SHA stöds.

Från och med MariaDB 10.4 och Percona 5.7 stöder vi endast TLS v1.2 och v1.3, det finns inga speciella begränsningar för chiffer, utöver de som ingår i protokollen och i den underliggande OpenSSL.

För den som vill ha en djupare dykning i saken har MariaDB, MySQL och Percona alla dokumentation om sina respektive SSL/TLS-implementationer. Tabellen nedan visar vilka OS-versioner som används för att driva respektive MySQL-varianter. Tabellen innehåller länkar till MySQL-leverantörens dokumentation.

MySQL-variant OS-version Paketleverantör
MariaDB 10.3 Debian Stretch MariaDB officiella Debian-repo
MariaDB 10.4 Debian Buster MariaDB officiella Debian-repo
MariaDB 10.5 Ubuntu Server 20.04 LTS MariaDB officiella Ubuntu-repo
MySQL 5.7 Debian Stretch MySQL officiella Debian-repo
Percona 5.7 Ubuntu Server 20.04 LTS Perconas officiella Ubuntu-repo

Teknisk information om utmaningar med Debian Stretch som klient

Om du ska använda Debian Stretch som en klient för TLS-anslutningar, var medveten om att de medföljande klientbiblioteken för MySQL inte stöder TLS v1.2 och senare. Se denna felrapport (bugs.debian.org) för mer information.

Klientbibliotek använder inte TLS för att ansluta till MySQL-databaser om du inte uttryckligen aktiverar det, och problemet uppstår därför inte för vanlig programvara som körs på vårt webbhotell och ansluter till databaser på vårt interna nätverk, men det kan uppstå med den explicita användningen av TLS i manuell konfiguration eller från externa anslutningar.

Om du själv har Debian Stretch och vill använda TLS på ett tillförlitligt sätt för databasanslutningar, överväg att använda uppdaterade förpackade klientbibliotek för MariaDB 10.3 (mariadb.org, kräver javascript) eller Percona 5.7 (percona.com) .


Se även:

© 2023 Domeneshop AS · Om oss · Villkor · Dataskydd