Alterações nos requisitos do conjunto de cifras TLS

Como parte do compromisso contínuo da Snowflake em fornecer o melhor Transport Layer Security (TLS), estamos migrando todos os pontos de extremidade usados por conectores, drivers ou clientes de API SQL para uma nova pilha de balanceamento de carga baseada no Envoy Proxy de código aberto, conforme descrito em Migração da Snowflake para o Envoy para gerenciamento de tráfego.

Embora se espere que essa migração seja transparente para a maioria dos clientes, há duas alterações que podem exigir ação, dependendo da configuração específica do cliente:

  1. Alteração da implementação do lado do servidor TLS.

  2. Habilitação do TLS versão 1.3 e descontinuação dos conjuntos de cifras fracos do TLS versão 1.2.

Detalhes a seguir:

  1. Quando uma região é alternada para terminar TLS usando o Envoy, alguns clientes baseados em Java do Snowflake com configurações personalizadas do provedor de segurança podem ter problemas para estabelecer conexões TLS. A configuração desse tipo é muito incomum. Para reduzir problemas de conectividade, os clientes Java devem verificar se um provedor de segurança que suporte criptografia de curva elíptica (ECC), como SunEC ou BouncyCastleProvider, está habilitado em seu arquivo java.security. SunEC é habilitado por padrão.

    Para obter mais detalhes sobre como garantir que seus clientes estejam configurados para compatibilidade, consulte o artigo da base de conhecimento do Snowflake Atualizações de migração do Envoy.

  2. Depois que uma região é migrada para o Envoy, o TLS versão 1.3 fica automaticamente disponível, e os clientes habilitados começarão a negociar conexões usando esta versão mais atualizada do TLS. TLS 1.2 continuará sendo compatível.

    Inicialmente, para manter a compatibilidade com versões anteriores para o maior número possível de clientes, os seguintes conjuntos de cifras TLS 1.2 continuarão tendo suporte em regiões de múltiplos locatários:

    Conjuntos de cifras fortes (preferenciais e sempre usados se compatíveis com o cliente):

    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    Conjuntos de cifras fracos (para compatibilidade com versões anteriores, não disponível em regiões governamentais dos US)

    • TLS_RSA_WITH_AES_128_GCM_SHA256

    • TLS_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA256

    Aproximadamente um mês após a ativação do TLS 1.3:

    1. Para contas que se conectam exclusivamente via TLS 1.3 ou através dos conjuntos de cifras preferenciais TLS 1.2 durante este período, e para todas as contas recém-criadas, será obrigatório o uso de TLS 1.3 ou TLS 1.2 com conjuntos de cifras fortes ao se conectar ao Snowflake usando endereços IP públicos. Conjuntos de cifras fracas TLS 1.2 não serão mais uma opção.

    2. Para contas identificadas como conectadas a conjuntos de cifras TLS 1.2 na lista fraca acima, comunicações direcionadas serão enviadas recomendando uma atualização do lado do cliente para migrar para cifras TLS 1.3 ou TLS 1.2 fortes. Essas contas continuarão a poder usar conjuntos de cifras legados por até 3 meses após a notificação direcionada.

    3. Após o período de notificação de 3 meses, a escolha entre conjuntos de cifras fortes TLS 1.2 ou TLS 1.3 será obrigatória para acesso a IP público e ao Private Link/Private Service Connect.

Nenhuma ação é necessária neste momento, mas essas informações estão sendo fornecidas agora para que os clientes possam atualizar proativamente suas implementações de cliente TLS antes da comunicação direcionada que exige uma atualização.

O TLS 1.3 oferece diversas melhorias, incluindo handshakes de TLS mais rápidos e conjuntos de criptografia mais simples e seguros. Essas mudanças proporcionam melhor desempenho e maior segurança. É altamente recomendável atualizar para um cliente compatível com TLS 1.3.

Quando essas mudanças ocorrerão?

A mudança na implementação do servidor TLS começou a ser implementada gradualmente em todas as nuvens e regiões a partir de julho de 2024 e continua em andamento.

Os clientes afetados receberão notificações direcionadas antes que os conjuntos de cifras TLS fracas sejam desabilitados para sua conta/região, o que será concluído globalmente até 1º de março de 2025.

Ref.: 1727

Linguagem: Português