Changements dans les exigences de suites de chiffrement TLS

Dans le cadre de l’engagement continu de Snowflake à fournir la meilleure sécurité de couche de transport (TLS) de sa catégorie, nous migrons tous les points de terminaison utilisés par les connecteurs, les pilotes ou les clients d’API SQL vers une nouvelle pile d’équilibrage de charge basée sur le proxy open source Envoy, comme décrit dans la migration de Snowflake vers Envoy pour la gestion du trafic.

Bien que cette migration soit censée être transparente pour la plupart des clients, deux changements peuvent nécessiter une action, en fonction de la configuration spécifique du client :

  1. Changement de l’implémentation TLS côté serveur.

  2. Activation de TLS 1.3 et suites de chiffrement faibles TLS 1.2 obsolètes.

Détails :

  1. Lorsqu’une région passe à la terminaison TLS via Envoy, certains clients Snowflake basés sur Java utilisant des configurations personnalisées de fournisseur de sécurité peuvent rencontrer des problèmes pour établir des connexions TLS. Une configuration de ce type est très rare. Pour réduire les problèmes de connectivité, les clients Java doivent vérifier qu’un fournisseur de sécurité prend en charge la cryptographie sur les courbes elliptiques (ECC), tel que SunEC ou BouncyCastleProvider, est activé dans leur fichier java.security. SunEC est activé par défaut.

    Pour plus de détails sur la manière de garantir que vos clients sont configurés pour la compatibilité, consultez l’article de la base de connaissances Snowflake Mises à jour de la migration vers Envoy.

  2. Une fois qu’une région est migrée vers Envoy, TLS 1.3 devient automatiquement disponible, et les clients compatibles commenceront à négocier des connexions en utilisant cette version la plus récente de TLS. TLS 1.2 continuera d’être pris en charge.

    Dans un premier temps, pour maintenir la compatibilité ascendante pour le plus grand nombre de clients possible, les suites de chiffrement TLS 1.2 continueront d’être prises en charge dans les régions multi-locataires :

    Suites de chiffrement fortes (préférées et toujours utilisées si elles sont prises en charge par le client) :

    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    Suites de chiffrement faibles (pour la rétrocompatibilité, non disponibles dans les régions gouvernementales US)

    • TLS_RSA_WITH_AES_128_GCM_SHA256

    • TLS_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA256

    Environ un mois après TLS 1.3 est activé :

    1. Pour les comptes observés comme se connectant exclusivement via TLS 1.3 ou les suites de chiffrement TLS 1.2 préférées mentionnées ci-dessus pendant cette période, ainsi que pour tous les nouveaux comptes créés, l’utilisation de TLS 1.3 ou TLS 1.2 avec des suites de chiffrement fortes sera rendue obligatoire lors de la connexion à Snowflake en utilisant des adresses IP publiques. Les suites de chiffrement TLS faibles 1.2 ne seront plus une option.

    2. Pour les comptes identifiés comme utilisant des suites de chiffrement TLS 1.2 figurant sur la liste des suites faibles ci-dessus, des communications ciblées seront envoyées pour recommander une mise à niveau côté client afin de passer à TLS 1.3 ou à des suites de chiffrement TLS 1.2 fortes. Ces comptes pourront continuer à utiliser les suites de chiffrement héritées jusqu’à 3 mois après la notification ciblée.

    3. Après la période de notification de 3 mois, le choix entre des suites de chiffrement TLS 1.2 ou TLS 1.3 fortes deviendra obligatoire pour les accès via des adresses IP publiques ainsi que via Private Link ou Private Service Connect.

Aucune action n’est requise pour le moment, mais ces informations sont fournies maintenant afin que les clients puissent mettre à niveau de manière proactive leurs implémentations client TLS en amont de la communication ciblée nécessitant une mise à niveau.

TLS 1.3 offre de nombreuses améliorations, notamment des échanges TLS plus rapides et des suites de chiffrement plus simples et sécurisées. Ces changements offrent de meilleures performances et une sécurité renforcée. La mise à niveau vers un client compatible TLS 1.3 est fortement recommandé.

Quand ces changements auront-ils lieu ?

La modification de l’implémentation du serveur TLS est déployée progressivement sur tous les Clouds et dans toutes les régions depuis juillet 2024 et est toujours en cours.

Les clients concernés recevront des notifications ciblées avant la désactivation des suites de chiffrement TLS faibles pour leur compte ou région, une transition qui sera achevée au niveau mondial au plus tard le 1er mars 2025.

Réf : 1727

Langage: Français