Mit Oracle 23ai wird TLS 1.3 zum Default für die Netzwerkverschlüsselung, sofern man auch den entsprechenden Oracle 23ai Client (SQL*PLUS, JDBC, ODP.NET) einsetzt. Zusätzlich zur höheren Sicherheit durch TLS 1.3 auf Grund der Perfect Forward Secrecy des Diffie-Hellman Ephemeral (DHE) Algorithmus werden für den TLS Handshake weniger Roundtrips benötigt – somit sollte der Connect schneller erfolgen.
Da TLS 1.3 der Default bei 23ai ist, gibt es auch keinen Bedarf einer zusätzlichen Konfiguration. Sollen noch ältere Clients (Oracle 19c, 21c) auf die 23ai Datenbank zugreifen können, muss man dies im SQLNET.ORA am Server erlauben:
sqlnet.ora
SSL_VERSION = (TLSv1.3, TLSv1.2)
SSL_CIPHER_SUITES = (TLS_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)Nutzt man einen Oracle 23ai Client, um auf eine Oracle 19c/21c Datenbank zuzugreifen, wird automatisch TLS 1.2 genutzt.
Referenzen
- Oracle 23ai SQLNET.ORA Parameter SSL_CIPHER_SUITES
- Weitere Tipps für eine sicher Konfiguration im SQLNET.ORA finden Sie im Artikel Netzwerkverschlüsselung – Weak Crypto Sicherheitslücke