Oracle Secure Sockets Layer (SSL)

Pour activer le chiffrement SSL pour une instance de base de données RDS for Oracle, ajoutez l’option Oracle SSL au groupe d’options associé avec l’instance de base de données. Amazon RDS utilise un deuxième port, comme l'exige Oracle, pour les connexions SSL. Cette approche permet aussi bien aux communications en texte clair qu'à celles à chiffrement SSL de se produire simultanément entre une instance de base de données et SQL*Plus. Par exemple, vous pouvez utiliser le port avec une communication en texte clair pour communiquer avec d’autres ressources à l’intérieur d’un VPC, tout en utilisant le port avec une communication à chiffrement SSL pour communiquer avec des ressources extérieures au VPC.

Note

Vous pouvez utiliser SSL ou Native Network Encryption (NNE), mais pas les deux, sur la même instance de base de données RDS for Oracle. Si vous utilisez le chiffrement SSL, veillez à désactiver tout autre chiffrement de connexion. Pour de plus amples informations, veuillez consulter Oracle NNE (Native Network Encryption).

SSL/TLS et NNE ne font plus partie d'Oracle Advanced Security. Dans RDS for Oracle, vous pouvez utiliser le chiffrement SSL avec toutes les éditions sous licence des versions de base de données suivantes :

• Oracle Database 21c (21.0.0)

• Oracle Database 19c (19.0.0)

Rubriques

• Versions TLS pour l'option Oracle SSL

• Suites de chiffrement pour l'option Oracle SSL

• Support FIPS

• Compatibilité des certificats avec les suites de chiffrement

• Ajout de l’option SSL

• Configuration de SQL*Plus de façon à utiliser SSL avec une instance de base de données RDS for Oracle

• Connexion à une instance de base de données RDS for Oracle à l'aide de SSL

• Configuration d’une connexion SSL via JDBC

• Application d'une correspondance de nom unique avec une connexion SSL

• Dépannage des connexions SSL

Versions TLS pour l'option Oracle SSL

Amazon RDS for Oracle prend en charge le protocole TLS (Transport Layer Security) version 1.0 et 1.2. Lorsque vous ajoutez une nouvelle option Oracle SSL, définissez SQLNET.SSL_VERSION explicitement sur une valeur valide. Les valeurs suivantes sont autorisées pour ce paramètre d'option :

• "1.0" – Les clients ne peuvent se connecter à l'instance de base de données qu'avec TLS version 1.0. Pour les options Oracle SSL existantes, SQLNET.SSL_VERSION est défini automatiquement sur "1.0". Vous pouvez modifier au besoin ce paramètre.

• "1.2" – Les clients ne peuvent se connecter à l'instance de base de données qu'avec TLS 1.2.

• "1.2 or 1.0" – Les clients peuvent se connecter à l'instance de base de données avec TLS 1.2 ou 1.0.

Suites de chiffrement pour l'option Oracle SSL

Amazon RDS for Oracle prend en charge plusieurs suites de chiffrement SSL. Par défaut, l'option Oracle SSL est configurée pour utiliser la suite de chiffrement SSL_RSA_WITH_AES_256_CBC_SHA. Pour indiquer une autre suite de chiffrement à utiliser sur les connexions SSL, utilisez le paramètre d'option SQLNET.CIPHER_SUITE.

Vous pouvez spécifier plusieurs valeurs pour SQLNET.CIPHER_SUITE. Cette technique est utile si vous avez des liens de base de données entre vos instances de base de données et que vous décidez de mettre à jour vos suites de chiffrement.

Le tableau suivant résume la prise en charge de SSL pour RDS for Oracle dans toutes les éditions d’Oracle Database 19c et 21c.

Suite de chiffrement (SQLNET.CIPHER_SUITE)	Prise en charge de la version de TLS (SQLNET.SSL_VERSION)	Support FIPS	Conforme au programme FedRAMP
SSL_RSA_WITH_AES_256_CBC_SHA (par défaut)	1.0 et 1.2	Oui	Non
SSL_RSA_WITH_AES_256_CBC_ SHA256	1.2	Oui	Non
SSL_RSA_WITH_AES_256_GCM_ SHA384	1.2	Oui	Non
TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384	1.2	Oui	Oui
TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256	1.2	Oui	Oui
TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384	1.2	Oui	Oui
TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256	1.2	Oui	Oui
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	1.2	Oui	Oui
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	1.2	Oui	Oui
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384	1.2	Oui	Oui
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384	1.2	Oui	Oui

Support FIPS

RDS for Oracle vous permet d'utiliser la norme FIPS (Federal Information Processing Standard) 140-2. FIPS 140-2 est une norme du gouvernement américain qui définit les exigences de sécurité du module de chiffrement. Pour activer la norme FIPS, définissez FIPS.SSLFIPS_140 sur TRUE pour l'option Oracle SSL. Quand la norme FIPS 140-2 est configurée pour SSL, les bibliothèques de chiffrement chiffrent les données entre le client et l'instance de base de données RDS for Oracle.

Les clients doivent utiliser la suite de chiffrement conforme à FIPS. Lors de l'établissement d'une connexion, le client et l'instance de base de données RDS for Oracle négocient quelle la suite de chiffrement utiliser lors de la transmission de messages dans les deux sens. Le tableau dans Suites de chiffrement pour l'option Oracle SSL présente les suites de chiffrement SSL conformes à FIPS pour chaque version de TLS. Pour plus d'informations, consultez Paramètres FIPS 140-2 d'Oracle Database (langue française non garantie) dans la documentation sur Oracle Database.

Compatibilité des certificats avec les suites de chiffrement

RDS for Oracle prend en charge à la fois les certificats RSA et ECDSA (Elliptic Curve Digital Signature Algorithm). Lorsque vous configurez le protocole SSL pour votre instance de base de données, vous devez vous assurer que les suites de chiffrement que vous spécifiez dans le paramètre d’option SQLNET.CIPHER_SUITE sont compatibles avec le type de certificat utilisé par votre instance de base de données.

Le tableau suivant montre la compatibilité entre les types de certificats et les suites de chiffrement :

Type de certificat	Suites de chiffrement compatibles	Suites de chiffrement incompatibles
Certificats RSA (rds-ca-2019, 2048-g1, 4096-g1) rds-ca-rsa rds-ca-rsa	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_ SHA256 SSL_RSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384
Certificats ECDSA (384-g1) rds-ca-ecc	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_ SHA256 SSL_RSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Lorsque vous spécifiez plusieurs suites de chiffrement dans le paramètre d’option SQLNET.CIPHER_SUITE, assurez-vous d’inclure au moins une suite de chiffrement compatible avec le type de certificat utilisé par votre instance de base de données. Si vous utilisez un groupe d’options avec plusieurs instances de base de données ayant différents types de certificats, incluez au moins une suite de chiffrement pour chaque type de certificat.

Si vous tentez d’associer un groupe d’options à une option SSL contenant uniquement des suites de chiffrement incompatibles avec le type de certificat d’une instance de base de données, l’opération échoue avec un message d’erreur indiquant l’incompatibilité.