Spørgsmål og svar

TLS med MySQL er teknisk komplekst og krevende at sætte sig ind i. Denne informationen er her for teknisk avancerede kunder som ønsker at finde ud af og fikse problemer med sin TLS-tilkobling til en database.

TLS-versioner, chiffere og implementationer

For MySQL 5.7 og MariaDB 10.3 har vi af kompatibilitetshensyn valgt at bare støtte DHE-RSA-AES256-SHA. Hvis du har problemer med tilkobling med en klient du ved støtter TLS v1.0, v1.1 eller v1.2, og du alligevel ikke får logget ind med TLS påskrudd, tjek, at DHE-RSA-AES256-SHA er støttet.

Fra og med MariaDB 10.4 og Percona 5.7 støtter vi kun TLS v1.2 og v1.3, det er ingen særskilte begrænsninger i chiffere, utover de som følger med i protokollene og i underliggende OpenSSL.

For de som ønsker et dypere dyk i materien, så har MariaDB, MySQL og Percona alle dokumentation over sine respektive SSL-/TLS-implementationer. Nedenstående tabel viser hvilke OS-versioner som bruges for at betjene de respektive MySQL-variantene. Tabellen indeholder lenker til MySQL-udbyderens dokumentation.

Teknisk information om utfordringer med Debian Stretch som klient

Hvis du skal bruge Debian Stretch som klient for TLS-tilkoblinger, vær obs på, at medfølgende klientbiblioteker for MySQL ikke støtter TLS v1.2 og nyere. Se denne bugrapporten (bugs.debian.org) for mere information.

Klientbiblioteker bruger ikke TLS for tilkobling til MySQL-databaser med mindre man eksplisit aktiverer det, og problemet opptrer derfor ikke for vanlig programvare som kører på webhotel hos os og kobler til databaser på vores interne net, men det må oppstå ved eksplisit brug af TLS i manuel konfiguration eller fra eksterne tilkoblinger.

Hvis du selv har Debian Stretch og ønsker at pålitelig bruge TLS til databasetilkoblinger, vurder at bruge opdaterte ferdigpakkede klientbiblioteker for MariaDB 10.3 (mariadb.org, kræver javascript) eller Percona 5.7 (percona.com).