TDS 8.0
S’applique à : SQL Server 2022 (16.x)base de données Azure SQL Azure SQL Managed Instance
SQL Server 2022 (16.x), Azure SQL Database et Azure SQL Managed Instance prennent en charge Tabular Data Stream (TDS) 8.0.
Le protocole TDS (Tabular Data Stream) est un protocole de couche application utilisé par les clients pour se connecter à SQL Server. SQL Server utilise le protocole TLS pour chiffrer des données transmises sur un réseau entre une application cliente et une instance de SQL Server.
TDS est un protocole sécurisé, mais dans les versions précédentes de SQL Server, le chiffrement peut être désactivé. Pour répondre aux normes de chiffrement obligatoire en cas d’utilisation de SQL Server, une itération du protocole TDS a été introduite : TDS 8.0.
La liaison TLS précède désormais tous les messages TDS, encapsulant la session TDS dans TLS pour appliquer le chiffrement, ce qui aligne TDS 8.0 sur HTTPS et d’autres protocoles web. Cela contribue considérablement à faciliter la gestion du trafic TDS, car les appliances réseau standard sont désormais capable de filtrer et de passer directement les requêtes SQL de manière sécurisée.
Un autre avantage de TDS 8.0 par rapport aux versions précédentes de TDS est la meilleure compatibilité avec TLS 1.3 et les normes TLS à venir. TDS 8.0 est également entièrement compatible avec les versions TLS 1.2 et antérieures.
Fonctionnement de TDS
Le protocole TDS (Tabular Data Stream) est un protocole de niveau application utilisé pour le transfert des demandes et des réponses entre les clients et les systèmes serveurs de base de données. Dans ces systèmes, le client établit généralement une connexion longue avec le serveur. Une fois la connexion établie avec un protocole au niveau du transport, les messages TDS sont utilisés pour la communication entre le client et le serveur.
La durée de vie de la session TDS se décompose en trois phases :
- Initialisation
- Authentification
- Échange de données
Le chiffrement est négocié pendant la phase initiale, mais la négociation TDS se produit sur une connexion non chiffrée. La connexion SQL Server ressemble à ceci pour les versions antérieures à TDS 8.0 :
Liaison TCP ➡️ préconnexion TDS (texte en clair) et réponse (texte en clair) ➡️ Liaison TLS ➡️ authentification (chiffrée) ➡️ échange de données (peut être chiffré ou non chiffré)
Avec l’introduction de TDS 8.0, les connexions SQL Server sont les suivantes :
Liaison TCP ➡️ négociation TLS ➡️ préconnexion TDS (chiffrée) et réponse (chiffrée) ➡️ authentification (chiffrée) ➡️ échange de données (chiffré)
Chiffrement de connexion strict
Pour utiliser TDS 8.0, SQL Server 2022 (16.x) a ajouté strict
comme type de chiffrement de connexion supplémentaire aux pilotes SQL Server (Encrypt=strict
). Pour utiliser le type de chiffrement de connexion strict
, téléchargez la dernière version des pilotes .NET, ODBC ou OLE DB, JDBC, PHP et Python.
- Microsoft ADO.NET pour SQL Server et Azure SQL Database, version 5.1 ou ultérieure
- Pilote ODBC pour SQL Server, version 18.1.2.1 ou ultérieure
- Microsoft OLE DB Driver pour SQL Server version 19.2.0 ou ultérieure
- Pilote Microsoft JDBC pour SQL Server, version 11.2.0 ou ultérieure.
- Pilotes Microsoft SQL Server pour PHP, version 5.10 ou ultérieure
- Pilote Python SQL (pyodbc)
Pour empêcher une attaque de l’intercepteur (man-in-the-middle) avec le chiffrement de connexion strict
, les utilisateurs ne peuvent pas définir l’option TrustServerCertificate
sur true
et approuver n’importe quel certificat fourni par le serveur. À la place, les utilisateurs utilisent l’option HostNameInCertificate
pour spécifier le certificat ServerName
qui doit être approuvé. Le certificat fourni par le serveur doit réussir la phase de validation.
Fonctionnalités qui ne prennent pas en charge le forçage du chiffrement strict
L’option Force Strict Encryption
ajoutée avec TDS 8.0 dans la configuration du réseau SQL Server force tous les clients à utiliser strict
comme type de chiffrement. Tous les clients ou fonctionnalités sans chiffrement strict
des connexions seront empêchés de se connecter à SQL Server.
Les fonctionnalités ou outils suivants utilisent toujours la version précédente des pilotes qui ne prennent pas en charge TDS 8.0 et, par conséquent, peuvent ne pas fonctionner avec le chiffrement de connexion strict
:
- Groupes de disponibilité Always On
- Instances de cluster de basculement (FCI) Always On
- Réplication SQL Server
- Copie des journaux de transactions
- Utilitaire sqlcmd
- Utilitaire bcp
- Service de programme d’amélioration du produit SQL Server
- SQL Server Agent
- Messagerie de base de données
- Serveurs liés
- Connecteur Polybase à SQL Server
Changements supplémentaires des propriétés de chiffrement de chaîne de connexion
Les ajouts suivants concernent les chaînes de connexion pour le chiffrement :
Mot clé | Default | Description |
---|---|---|
Encrypt |
false | Comportement existant Quand la valeur est true , SQL Server utilise le chiffrement TLS pour toutes les données envoyées entre le client et le serveur, si le serveur a un certificat installé. Les valeurs reconnues sont true , false , yes et no . Pour plus d’informations, consultez Syntaxe de la chaîne de connexion.Changement de comportement Quand la valeur est strict , SQL Server utilise TDS 8.0 pour toutes les données envoyées entre le client et le serveur.Quand la valeur est mandatory , true ou yes , SQL Server utilise TDS 7.x avec le chiffrement TLS/SSL pour toutes les données envoyées entre le client et le serveur, si le serveur a un certificat installé.Quand la valeur est optional , false ou no , la connexion utilise TDS 7.x et est chiffrée uniquement si le serveur SQL le demande. |
TrustServerCertificate |
false | Comportement existant Définissez la valeur sur true pour spécifier que le pilote ne valide pas le certificat TLS/SSL du serveur. Si la valeur est true , le certificat TLS/SSL du serveur est approuvé automatiquement quand la couche de communication est chiffrée avec TLS.Si la valeur est false , le pilote valide le certificat TLS/SSL du serveur. Si la validation du certificat de serveur échoue, le pilote génère une erreur et ferme la connexion. La valeur par défaut est false . Vérifiez que la valeur passée à serverName correspond exactement au Common Name (CN) ou au nom DNS dans le Subject Alternate Name du certificat de serveur pour que la connexion TLS/SSL réussisse.Changement de comportement pour le pilote ODBC Microsoft 18 pour SQL Server Si Encrypt la valeur est définie strict , ce paramètre spécifie l’emplacement du certificat à utiliser pour la validation du certificat de serveur (correspondance exacte). Le pilote prend en charge les extensions de fichier PEM, DER et CER.Si Encrypt elle est définie true sur ou false , et que la TrustServerCertificate propriété n’est pas spécifiée ou définie null sur , true ou , le false pilote utilise la ServerName valeur de propriété sur l’URL de connexion comme nom d’hôte pour valider le certificat TLS/SSL SQL Server. |
HostNameInCertificate |
null | Nom d’hôte à utiliser pour valider le certificat SQL Server TLS/SSL. Si la HostNameInCertificate propriété n’est pas spécifiée ou définie null sur , le pilote utilise la ServerName valeur de propriété comme nom d’hôte pour valider le certificat TLS/SSL SQL Server. |