TLS 密码套件要求的变化

作为 Snowflake 对提供一流传输层安全 (TLS) 持续承诺的一部分,我们正在将连接器、驱动程序或 SQL API 客户端使用的所有端点迁移到基于开源 Envoy Proxy 的新负载平衡堆栈,如 Snowflake 迁移至 Envoy 以进行流量管理 (link removed) 中所述。

虽然此迁移对大多数客户而言是透明的,但根据客户端特定配置,可能需要执行两项变更:

  1. TLS 服务器端实施的变更。

  2. 启用 TLS 1.3 和弃用弱 TLS 1.2 密码套件。

详细信息如下:

  1. 当一个区域切换到使用 Envoy 终止 TLS 时,一些基于 Snowflake Java 且具有自定义安全提供程序配置的客户端在建立 TLS 连接时可能会遇到问题。这种配置非常罕见。为减少连接问题,Java 客户端应验证其 java.security 文件中是否启用了支持椭圆曲线密码 (ECC) 的安全提供程序,如 SunECBouncyCastleProvider。默认情况下,SunEC 处于启用状态。

    有关如何确保客户端配置为兼容的详细信息,请参阅 Snowflake 知识库文章 Envoy 迁移更新 (https://community.snowflake.com/s/article/FAQ-Updates-on-Migration-of-Traffic-Serving-Proxy-Load-Balancing-Infrastructure)。

  2. 一旦有区域迁移到 Envoy,TLS 1.3 将自动可用,能够使用的客户将开始使用这个最新版本的 TLS 协商连接。系统将继续支持 TLS 1.2。

    最初,为了确保向后兼容尽可能多的客户,多租户区域将继续支持以下 TLS 1.2 密码套件:

    强密码套件(首选,如果客户端支持,将始终使用此套件):

    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    弱密码套件(用于向后兼容,在 US 政府区域不可用)

    • TLS_RSA_WITH_AES_128_GCM_SHA256

    • TLS_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA256

    启用 TLS 1.3 后大约一个月:

    1. 对于在此期间观察到完全通过 TLS 1.3 或上述首选 TLS 1.2 密码套件连接的账户,以及所有新创建的账户,在使用公共 IP 地址连接到 Snowflake 时,将强制使用具有强密码套件的 TLS 1.3 或 TLS 1.2。弱 TLS 1.2 密码套件将不再是选项。

    2. 对于已确认与上述弱列表中的 TLS 1.2 密码套件连接的账户,系统将发送针对性通信,建议客户端升级以迁移到 TLS 1.3 或强 TLS 1.2 密码。这些账户在收到针对性通知后,将能够继续使用旧密码套件 3 个月。

    3. 在 3 个月的通知期后,对于公共 IP 和专用链接/Private Service Connect 访问都必须选择强 TLS 1.2 密码套件或 TLS 1.3。

此时不需要执行任何操作,但现在提供此信息是为了客户端能够在发出需要升级的针对性通信前,主动升级其 TLS 客户端实施。

TLS 1.3 提供了多项改进,包括更快的 TLS 握手和更简单、更安全的密码套件。这些变更让性能更好、安全性更高。强烈建议升级到 TLS 1.3 兼容的客户端。

这些变更何时进行?

从 2024 年 7 月起,TLS 服务器实施变更已在所有云和区域逐步推出,并且目前仍在进行。

对于连接到 Snowflake 时使用弱密码套件的客户,将按照以下时间表发出通信:

  • 2025 年 5 月,面向为公共流量使用弱密码套件的客户。

  • 2025 年 7 月,面向通过专用链接/Private Service Connect 使用弱密码套件的客户。

在收到通知后,客户有 6 个月的时间更新其使用的密码套件,之后我们将放弃对弱密码套件的支持。因此:

  • 在 2025 年 11 月的第一周前后,对公开流量的弱密码套件支持将停止。可能会有所调整。

  • 在 2026 年 1 月的第一周前后,对专用链接/Private Service Connect 弱密码套件的支持将停止。可能会有所调整。

参考:1727

语言: 中文