Änderungen der Anforderungen der TLS Cipher Suite

Im Rahmen des kontinuierlichen Engagements von Snowflake, die beste Sicherheit auf der Transportschicht (TLS) zu bieten, migrieren wir alle Endpunkte, die von Connectoren, Treibern oder SQL API-Clients verwendet werden, auf einen neuen Lastenausgleichsstapel der auf dem Open Source-Envoy-Proxy basiert, wie in Snowflake-Migration zu Envoy für das Datenverkehrsmanagement beschrieben.

Während diese Migration für die meisten Kunden transparent sein dürfte, gibt es zwei Änderungen, die je nach Client-spezifischer Konfiguration eine Aktion erfordern können:

  1. Änderung der TLS-serverseitigen Implementierung.

  2. Aktivierung von TLS 1.3 und Abschaffung der schwachen TLS 1.2 Cipher Suites.

Details folgen:

  1. Wenn eine Region mithilfe von Envoy auf die Terminierung von TLS umgestellt wird, kann es bei einigen Snowflake Java-basierten Clients mit benutzerdefinierten Konfigurationen für Sicherheitsanbieter zu Problemen beim Aufbau von TLS-Verbindungen kommen. Eine solche Konfiguration ist sehr selten. Um Konnektivitätsprobleme zu vermeiden, sollten Java Clients sicherstellen, dass ein Sicherheitsanbieter, der Elliptic Curve Cryptography (ECC) unterstützt (wie SunEC oder BouncyCastleProvider) in ihrer java.security-Datei aktiviert ist. SunEC ist standardmäßig aktiviert.

    Weitere Informationen darüber, wie Sie sicherstellen, dass Ihre Clients kompatibel konfiguriert sind, finden Sie im Snowflake Knowledge Base-Artikel Aktualisierungen der Envoy-Migration.

  2. Sobald eine Region auf Envoy migriert ist, ist TLS 1.3 automatisch verfügbar, und fähige Clients beginnen mit der Aushandlung von Verbindungen unter Verwendung dieser neuesten TLS-Version. TLS 1.2 wird weiterhin unterstützt.

    Um die Abwärtskompatibilität für möglichst viele Kunden aufrechtzuerhalten, werden zunächst die folgenden TLS 1.2 Cipher Suites in mandantenfähigen Regionen weiterhin unterstützt:

    Starke Cipher Suites (bevorzugt und immer verwendet, wenn sie vom Client unterstützt werden):

    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    Schwache Cipher Suites (aus Gründen der Abwärtskompatibilität, nicht verfügbar in den Regionen von US-Regierungsbehörden)

    • TLS_RSA_WITH_AES_128_GCM_SHA256

    • TLS_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA256

    Etwa einen Monat, nachdem TLS 1.3 aktiviert wurde:

    1. Für Konten, bei denen während dieses Zeitraums beobachtet wurde, dass sie sich ausschließlich über TLS 1.3 oder die bevorzugten TLS 1.2 Cipher Suites verbinden, und für alle neu eingerichteten Konten wird TLS 1.3 oder TLS 1.2 mit starken Cipher Suites zur Pflicht, wenn sie sich über öffentliche IP-Adressen mit Snowflake verbinden. Schwache TLS 1.2 Cipher Suites werden nicht länger eine Option sein.

    2. Für Konten, bei denen eine Verbindung mit TLS 1.2 Cipher Suites auf der oben genannten schwachen Liste festgestellt wurde, werden gezielte Mitteilungen versandt, in denen ein Client-seitiges Upgrade empfohlen wird, um auf TLS 1.3 oder starke TLS 1.2 Cipher Suites umzustellen. Diese Konten können bis zu 3 Monate nach der gezielten Benachrichtigung weiterhin die alten Cipher Suites verwenden.

    3. Nach Ablauf des 3-monatigen Benachrichtigungszeitraums wird die Wahl von starken TLS 1.2 Cipher Suites oder TLS 1.3 sowohl für den Zugang zu Public IP als auch Private Link / Private Service Connect obligatorisch sein.

Zu diesem Zeitpunkt ist keine Aktion erforderlich. Diese Information wird jedoch jetzt bereitgestellt, damit Kunden ihre TLS-Client-Implementierungen proaktiv aktualisieren können, bevor die angestrebte Kommunikation ein Upgrade erfordert.

TLS 1.3 bietet zahlreiche Verbesserungen, darunter schnellere TLS Handshakes und einfachere, sicherere Cipher Suites. Diese Änderungen sorgen für bessere Leistung und mehr Sicherheit. Ein Upgrade auf einen TLS 1.3-kompatiblen Client wird dringend empfohlen.

Wann werden diese Änderungen eintreten?

Die Änderung der TLS-Server-Implementierung wird ab Juli 2024 schrittweise in allen Clouds und Regionen eingeführt und ist noch nicht abgeschlossen.

Betroffene Kunden werden gezielte Benachrichtigungen erhalten, bevor die schwachen TLS Cipher Suites für ihr Konto/ihre Region deaktiviert werden. Dies wird weltweit spätestens am 1. März 2025 abgeschlossen sein.

Ref.: 1727

Sprache: Deutsch