Spørgsmål og svar
TLS med MySQL er teknisk komplekst og krevende at sætte sig ind i. Denne informationen er her for teknisk avancerede kunder som ønsker at finde ud af og fikse problemer med sin TLS-tilkobling til en database.
TLS-versioner, chiffere og implementationer
For MySQL 5.7 og MariaDB 10.3 har vi af kompatibilitetshensyn valgt at bare støtte DHE-RSA-AES256-SHA
. Hvis du har problemer med tilkobling med en klient du ved støtter TLS v1.0, v1.1 eller v1.2, og du alligevel ikke får logget ind med TLS påskrudd, tjek, at DHE-RSA-AES256-SHA
er støttet.
Fra og med MariaDB 10.4 og Percona 5.7 støtter vi kun TLS v1.2 og v1.3, det er ingen særskilte begrænsninger i chiffere, utover de som følger med i protokollene og i underliggende OpenSSL.
For de som ønsker et dypere dyk i materien, så har MariaDB, MySQL og Percona alle dokumentation over sine respektive SSL-/TLS-implementationer. Nedenstående tabel viser hvilke OS-versioner som bruges for at betjene de respektive MySQL-variantene. Tabellen indeholder lenker til MySQL-udbyderens dokumentation.
MySQL-variant | OS-version | Pakke-udbyder |
---|---|---|
MariaDB 10.3 | Debian Stretch | MariaDB official Debian repo |
MariaDB 10.4 | Debian Buster | MariaDB official Debian repo |
MySQL 5.7 | Debian Stretch | MySQL official Debian repo |
Percona 5.7 | Ubuntu Server 20.04 LTS | Percona official Ubuntu repo |
Teknisk information om utfordringer med Debian Stretch som klient
Hvis du skal bruge Debian Stretch som klient for TLS-tilkoblinger, vær obs på, at medfølgende klientbiblioteker for MySQL ikke støtter TLS v1.2 og nyere. Se denne bugrapporten (bugs.debian.org) for mere information.
Klientbiblioteker bruger ikke TLS for tilkobling til MySQL-databaser med mindre man eksplisit aktiverer det, og problemet opptrer derfor ikke for vanlig programvare som kører på webhotel hos os og kobler til databaser på vores interne net, men det må oppstå ved eksplisit brug af TLS i manuel konfiguration eller fra eksterne tilkoblinger.
Hvis du selv har Debian Stretch og ønsker at pålitelig bruge TLS til databasetilkoblinger, vurder at bruge opdaterte ferdigpakkede klientbiblioteker for MariaDB 10.3 (mariadb.org, kræver javascript) eller Percona 5.7 (percona.com).