Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Introducción
Azure Database for PostgreSQL requiere todas las conexiones de cliente para usar la seguridad de la capa de transporte (TLS), un protocolo estándar del sector que cifra las comunicaciones entre el servidor de bases de datos y las aplicaciones cliente. TLS reemplaza el protocolo SSL anterior, con solo las versiones 1.2 y 1.3 de TLS reconocidas como seguras. La integridad de la seguridad tls se basa en tres pilares:
- Usar solo las versiones 1.2 o 1.3 de TLS.
- El cliente valida el certificado TLS del servidor emitido por una entidad de certificación (CA) en una cadena de CA iniciadas por una CA raíz de confianza.
- Negociación de un conjunto de cifrado seguro entre el servidor y el cliente.
Certificados raíz de confianza y rotaciones de certificados
Importante
Hemos iniciado una rotación de certificados TLS para Azure Database for PostgreSQL para incorporar nuevas autoridades de certificación intermedias y la cadena de certificados resultante. Las CA raíz siguen siendo las mismas.
No se requiere ninguna acción si la configuración del cliente implementa las configuraciones recomendadas para TLS.
Programación de rotación de certificados
- Las regiones de Azure Centro-oeste de EE. UU., Este de Asia y sur de Reino Unido iniciaron su rotación de certificados TLS el 11 de noviembre de 2025.
- A partir del 19 de enero de 2026, esta rotación de certificados está prevista para ampliarse a las regiones restantes (excepto China), incluido Azure Government.
- Después del Festival de Primavera (año nuevo chino) 2026, las regiones de China también se someten a una rotación de certificados que incluye un cambio a una de las CA raíz.
CA raíz usadas por Azure Database for PostgreSQL
Las CA raíz son las entidades de nivel superior de la cadena de certificados. Azure Database for PostgreSQL usa actualmente certificados firmados duales emitidos por un ICA anclado por las siguientes CA raíz:
Actualmente, las regiones de China usan las siguientes CA:
- Microsoft RSA Root CA 2017
- CA raíz global de DigiCert
- Después del Festival de Primavera (año nuevo chino) 2026: Digicert Global Root G2. Se recomienda que se prepare para este cambio con anticipación agregando la nueva autoridad de certificación raíz a su almacén raíz de confianza.
Acerca de las CA intermedias
Azure Database for PostgreSQL usa entidades de certificación (ICA) intermedias para emitir certificados de servidor. Microsoft rota periódicamente estos ICA y los certificados de servidor que emiten para mantener la seguridad. Estas rotaciones son rutinarias y no se anuncian de antemano.
La rotación actual de CA intermedias para DigiCert Global Root CA (consulte Rotación de certificados) comenzó en noviembre de 2025 y se programó que se completara en el primer trimestre de 2026 reemplaza a las CA intermedias como se indica a continuación. Si ha seguido los procedimientos recomendados, este cambio no requiere ningún cambio en el entorno.
Cadena de CA antigua
Esta información solo se proporciona como referencia. No use entidades de certificación o certificados de servidor intermedios en el almacén raíz de confianza.
DigiCert Global Root G2Microsoft Azure RSA TLS Issuing CA 03 / 04 / 07 / 08- Certificado de servidor
Nueva cadena de CA
Esta información solo se proporciona como referencia. No use CA intermedias ni certificados de servidor en su almacén raíz de confianza.
DigiCert Global Root G2Microsoft TLS RSA Root G2Microsoft TLS G2 RSA CA OCSP 02 / 04 / 06 / 08 / 10 / 12 / 14 / 16- Certificado de servidor
Réplicas de lectura
La migración de la Autoridad de Certificación Raíz de DigiCert Global Root CA a DigiCert Global Root G2 no se ha completado en todas las regiones. Por lo tanto, es posible que las réplicas de lectura recién creadas estén en un certificado de autoridad de certificación raíz más reciente que el servidor principal. Por lo tanto, debe agregar DigiCert Global Root CA al almacén de confianza para las réplicas de lectura.
Cadenas de certificados
Una cadena de certificados es una secuencia jerárquica de certificados emitidos por entidades de certificación (CA) de confianza, empezando por la CA raíz, que emite certificados de CA intermedias (ICA). Las ICAs pueden emitir certificados para otras ICAs inferiores. El ICA más bajo de la cadena emite certificados de servidor individuales. La cadena de confianza se establece comprobando cada certificado de la cadena hasta el certificado de entidad de certificación raíz.
Reducción de errores de conexión
El uso de configuraciones TLS recomendadas ayuda a reducir el riesgo de errores de conexión debido a rotaciones de certificados o cambios en ca intermedias. En concreto, evite confiar en entidades de certificación intermedias o certificados de servidor individuales, ya que estas prácticas pueden provocar problemas de conexión inesperados cuando Microsoft actualiza la cadena de certificados.
Importante
Los cambios en las CA raíz se anuncian con antelación para ayudarle a preparar las aplicaciones cliente; sin embargo, los cambios y rotaciones de certificados de servidor en entidades de certificación intermedias son rutinarios y, por lo tanto, no se anuncian.
Precaución
El uso de configuraciones no admitidas (cliente) provoca errores de conexión inesperados.
Configuraciones recomendadas para TLS
Mejor configuración
- Aplique la versión de TLS más reciente y segura estableciendo el parámetro de servidor de
ssl_min_protocol_versionaTLSv1.3. - Use
sslmode=verify-allpara las conexiones de PostgreSQL para garantizar la comprobación completa del certificado y el nombre de host. En función de su configuración de DNS con puntos de conexión privados o integración con la red virtual, es posible queverify-allno sea viable; en ese caso, podría usarverify-caen su lugar. - Mantenga siempre el conjunto completo de certificados raíz de Azure en el almacén raíz de confianza.
Buena configuración
- Establezca el parámetro del servidor
ssl_min_protocol_versionenTLSv1.3. Si debe admitir TLS 1.2, no establezca la versión mínima. - Use
sslmode=verify-allosslmode=verify-capara las conexiones de PostgreSQL para garantizar la comprobación completa o parcial del certificado. - Asegúrese de que el almacén raíz de confianza contiene el certificado de entidad de certificación raíz usado actualmente por Azure Database for PostgreSQL:
Compatible, no recomendado
Recomendamos encarecidamente que no se realicen las siguientes configuraciones:
- Deshabilite TLS completamente estableciendo
require_secure_transportenOFFy configurando el lado del cliente ensslmode=disable. - Evite los ataques man-in-the-middle evitando la configuración del lado del cliente
sslmode,disable,allowoprefer.require
Configuraciones no soportadas; no utilizar
Azure PostgreSQL no anuncia cambios sobre cambios intermedios de entidad de certificación o rotaciones de certificados de servidor individuales; Por lo tanto, no se admiten las siguientes configuraciones al usar sslmode la configuración verify-ca o verify-all:
- Se utilizan certificados intermedios de la Autoridad de Certificación en su almacén de confianza.
- El anclaje de certificados se usa, por ejemplo, mediante certificados de servidor individuales en el almacén de confianza.
Precaución
Las aplicaciones no se pueden conectar a los servidores de bases de datos sin previo aviso cuando Microsoft cambia las CA intermedias de la cadena de certificados o gira el certificado de servidor.
Problemas de anclaje de certificados
Nota:
Si no usa sslmode=verify-full o sslmode=verify-ca en la cadena de conexión de la aplicación cliente, las rotaciones de certificados no le afectan. Por lo tanto, no es necesario seguir los pasos descritos en esta sección.
Nunca use el anclaje de certificados en las aplicaciones, ya que interrumpe la rotación de certificados, como el cambio de certificado actual de entidades de certificación intermedias. Si no conoce qué es el anclaje de certificados, probablemente no lo esté utilizando. Para comprobar si hay anclaje de certificados:
- Genere su lista de certificados que se encuentran en su almacén raíz de confianza.
- Combine y actualice los certificados de entidad de certificación raíz para las aplicaciones Java.
- Abra el almacén raíz de confianza en su máquina cliente y exporte la lista de certificados.
- Está usando el anclaje de certificados si tiene certificados de ENTIDAD de certificación intermedios o certificados de servidor postgreSQL individuales en el almacén raíz de confianza.
- Para quitar la fijación de certificados, quite todos los certificados del almacén raíz de confianza y agregue los certificados raíz de la CA recomendados.
Si tiene problemas debido al certificado intermedio incluso después de seguir estos pasos, póngase en contacto con el soporte técnico de Microsoft. Incluya en el título ICA Rotation 2026.
Otras consideraciones para TLS
Versiones de TLS seguras e inseguras
Varias entidades gubernamentales en todo el mundo mantienen directrices para TLS con respecto a la seguridad de red. En los Estados Unidos, estas organizaciones incluyen el Departamento de salud y servicios humanos y el National Institute of Standards and Technology. El nivel de seguridad que proporciona TLS se ve más afectado por la versión del protocolo TLS y los conjuntos de cifrado admitidos.
Azure Database for PostgreSQL admite tls versión 1.2 y 1.3. En RFC 8996, el Grupo de tareas de ingeniería de Internet (IETF) indica explícitamente que no se debe usar TLS 1.0 y TLS 1.1. Ambos protocolos quedaron en desuso a finales de 2019. Todas las conexiones entrantes que usan versiones anteriores no seguras del protocolo TLS, como TLS 1.0 y TLS 1.1, se deniegan de forma predeterminada.
IETF lanzó la especificación TLS 1.3 en RFC 8446 en agosto de 2018 y TLS 1.3 es la versión recomendada, ya que es más rápida y segura que TLS 1.2.
Aunque no se recomienda, si es necesario, puede deshabilitar TLS para las conexiones a Azure Database for PostgreSQL. Puede actualizar el parámetro de servidor de require_secure_transport a OFF.
Importante
Se recomienda encarecidamente usar las versiones más recientes de TLS 1.3 para cifrar las conexiones de base de datos. Puede especificar la versión mínima de TLS configurando el parámetro del servidor ssl_min_protocol_version a TLSv1.3. No establezca el ssl_max_protocol_version parámetro de servidor.
Conjuntos de cifrado
Un conjunto de cifrado es un conjunto de algoritmos que incluyen un cifrado, un algoritmo de intercambio de claves y un algoritmo hash. Se usan junto con el certificado TLS y la versión de TLS para establecer una conexión TLS segura. La mayoría de los clientes y servidores TLS admiten varios conjuntos de cifrado y, a veces, varias versiones de TLS. Durante el establecimiento de la conexión, el cliente y el servidor negocian la versión de TLS y el conjunto de cifrado que se utilizará mediante un intercambio de claves. Durante este protocolo de enlace, se produce lo siguiente:
- El cliente envía una lista de conjuntos de cifrado aceptables.
- El servidor selecciona el mejor conjunto de cifrado (por su propia definición) de la lista e informa al cliente de la elección.
Características de TLS no disponibles en Azure Database for PostgreSQL
En este momento, Azure Database for PostgreSQL no implementa las siguientes características TLS:
- Autenticación de cliente basada en certificados TLS mediante TLS con autenticación mutua (mTLS).
- Certificados de servidor personalizados (traiga sus propios certificados TLS).