Oracle Secure Sockets Layer

Puoi abilitare la crittografia SSL per un’istanza database RDS per Oracle aggiungendo l’opzione Oracle SSL al gruppo di opzioni associato all’istanza database. Amazon RDS utilizza una seconda porta, come richiesto da Oracle, per le connessioni SSL. Questo approccio rende possibile allo stesso tempo sia testo in chiaro che comunicazioni con crittografia SSL tra un'istanza database e SQL*Plus. Ad esempio, è possibile utilizzare la porta con testo in chiaro per comunicare con altre risorse all'interno di un VPC mentre utilizzi la porta con crittografia SSL per comunicare con risorse all'esterno del VPC.

Nota

È possibile utilizzare SSL o Native Network Encryption (NNE) sulla stessa istanza database RDS per Oracle. Se utilizzi la crittografia SSL, assicurati di disabilitare qualsiasi altro metodo di crittografia della connessione. Per ulteriori informazioni, consulta Oracle native network encryption.

SSL/TLS e NNE non fanno più parte di Oracle Advanced Security. In RDS per Oracle, puoi utilizzare la crittografia SSL con tutte le edizioni con licenza delle seguenti versioni del database:

• Oracle Database 21c (21.0.0)

• Oracle Database 19c (19.0.0)

Argomenti

• Versioni TLS per l'opzione SSL di Oracle

• Suite di cifratura per l'opzione Oracle SSL

• Supporto FIPS

• Compatibilità dei certificati con le suite di crittografia

• Aggiunta dell'opzione SSL

• Configurazione di SQL*Plus per l'utilizzo di SSL con un'istanza database RDS per Oracle

• Connessione a un'istanza database RDS per Oracle tramite SSL

• Configurazione di una connessione SSL su JDBC

• Applicazione di una corrispondenza DN con connessione SSL

• Risoluzione dei problemi relativi alle connessioni SSL

Versioni TLS per l'opzione SSL di Oracle

Amazon RDS for Oracle supporta Transport Layer Security (TLS) versioni 1.0 e 1.2. Quando aggiungi una nuova opzione SSL di Oracle, imposta SQLNET.SSL_VERSION su un valore valido in modo esplicito. Di seguito sono indicati i valori consentiti per questa impostazione dell’opzione:

• "1.0": i client possono connettersi all'istanza database solo tramite TLS versione 1.0. Per le opzioni SSL di Oracle esistenti, SQLNET.SSL_VERSION è impostato su "1.0" automaticamente. Puoi modificare questa impostazione, se necessario.

• "1.2" – I client possono connettersi all'istanza database solo tramite TLS 1.2.

• "1.2 or 1.0" – I client possono connettersi all'istanza database tramite TLS 1.2 o 1.0.

Suite di cifratura per l'opzione Oracle SSL

Amazon RDS for Oracle supporta suite di cifratura SSL multiple. Come impostazione predefinita, l’opzione Oracle SSL è configurata per utilizzare la suite di cifratura SSL_RSA_WITH_AES_256_CBC_SHA. Per specificare una suite di cifratura diversa da adottare nelle connessioni SSL, usare l’impostazione dell’opzione SQLNET.CIPHER_SUITE.

Puoi specificare valori multipli per SQLNET.CIPHER_SUITE. Questa tecnica è utile se disponi di collegamenti al database tra le istanze database e decidi di aggiornare le suite di crittografia.

Nella tabella seguente viene indicato il supporto SSL di RDS per Oracle in tutte le edizioni di Oracle Database 19c e 21c.

Suite di crittografia (SQLNET.CIPHER_SUITE)	Supporto della versione TLS (SQLNET.SSL_VERSION)	Supporto FIPS	Conformità agli standard FedRAMP
SSL_RSA_WITH_AES_256_CBC_SHA (predefinito)	1.0 e 1.2	Sì	No
SSL_RSA_CON_AES_256_CBC_ SHA256	1.2	Sì	No
SSL_RSA_CON_AES_256_GCM_ SHA384	1.2	Sì	No
TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384	1.2	Sì	Sì
TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256	1.2	Sì	Sì
TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384	1.2	Sì	Sì
TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256	1.2	Sì	Sì
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	1.2	Sì	Sì
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	1.2	Sì	Sì
TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384	1.2	Sì	Sì
TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384	1.2	Sì	Sì

Supporto FIPS

RDS per Oracle consente di utilizzare lo standard Federal Information Processing Standard (FIPS) per 140-2. FIPS 140-2 è uno standard del governo degli Stati Uniti che definisce i requisiti di sicurezza del modulo crittografico. Attiva lo standard FIPS impostando FIPS.SSLFIPS_140 su TRUE per l'opzione Oracle SSL. Quando FIPS 140-2 è configurato per SSL, le librerie crittografiche eseguono la crittografia dei dati tra il client e l'istanza database Oracle.

I client devono utilizzare la suite di crittografia conforme con FIPS. Quando si stabilisce una connessione, il client e l'istanza database RDS per Oracle negoziano quale suite di cifratura utilizzare durante la trasmissione dei messaggi in entrambe le direzioni. Nella tabella in Suite di cifratura per l'opzione Oracle SSL vengono illustrate le suite di crittografia SSL conformi a FIPS per ogni versione TLS. Per ulteriori informazioni, consulta la pagina relativa alle impostazioni FIPS 140-2 del database Oracle nella documentazione del database Oracle.

Compatibilità dei certificati con le suite di crittografia

RDS per Oracle supporta i certificati RSA ed ECDSA (Elliptic Curve Digital Signature Algorithm). Quando configuri SSL per l’istanza database, devi assicurarti che le suite di crittografia specificate nell’impostazione dell’opzione SQLNET.CIPHER_SUITE siano compatibili con il tipo di certificato utilizzato dall’istanza database.

La tabella seguente mostra la compatibilità tra i tipi di certificato e le suite di crittografia:

Tipo di certificato	Suite di crittografia compatibili	Suite di crittografia incompatibili
Certificati RSA (rds-ca-2019, 2048-g1, 4096-g1) rds-ca-rsa rds-ca-rsa	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_CON_AES_256_CBC_ SHA256 SSL_RSA_CON_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384
Certificati ECDSA (384-g1) rds-ca-ecc	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_CON_AES_256_CBC_ SHA256 SSL_RSA_CON_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Quando specifichi più suite di crittografia nell’impostazione dell’opzione SQLNET.CIPHER_SUITE, assicurati di includere almeno una suite di crittografia compatibile con il tipo di certificato utilizzato dall’istanza database. Se utilizzi un gruppo di opzioni con più istanze database con tipi di certificati diversi, includi almeno una suite di crittografia per ogni tipo di certificato.

Se tenti di associare un gruppo di opzioni a un’opzione SSL che contiene solo suite di crittografia incompatibili con il tipo di certificato di un’istanza database, l’operazione avrà esito negativo e verrà visualizzato un messaggio di errore che indica l’incompatibilità.