資料庫網關計劃於2025年08月10日升級(發布新版本),屆時美國地區的網關將不再支援TLS 1.2協議中不安全的(TLS_RSA_WITH_3DES_EDE_CBC_SHA)密碼編譯演算法。
變更時間
2025年08月10日
變更地區
美國(佛吉尼亞)和美國(矽谷)。
該地區為接入網關的地區,即啟動資料庫網關代理(Agent)時所指定的地區。
變更內容
資料庫網關升級,美國地區的網關將不再支援TLS 1.2協議的TLS_RSA_WITH_3DES_EDE_CBC_SHA密碼編譯演算法。
影響與建議
影響
在美國地區,使用TLS 1.2協議的TLS_RSA_WITH_3DES_EDE_CBC_SHA密碼編譯演算法的網關將不可用。
建議
確保每個部署資料庫網關代理(Agent)的機器,在資料庫網關升級後TLS協議和密碼編譯演算法依然可用。以Linux(Red Hat)系統為例,您可以參考如下操作排查處理。
登入部署資料庫網關代理的機器。
根據接入網關的地區,執行如下命令。
美國(維吉尼亞):
openssl s_client -connect pub-us-east-1.dg.aliyuncs.com:443 -tls1_2|grep Cipher美國(矽谷):
openssl s_client -connect pub-us-west-1.dg.aliyuncs.com:443 -tls1_2|grep Cipher
查看返回的結果。
若結果如下所示,則表示TLS的版本為1.2,且未使用TLS_RSA_WITH_3DES_EDE_CBC_SHA演算法。在資料庫網關升級後,您無需做任何操作。否則,您須繼續向下執行。
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256 Cipher : ECDHE-RSA-AES128-GCM-SHA256可選:升級TLS。
說明若您使用的是TLS_RSA_WITH_3DES_EDE_CBC_SHA演算法,則須確保OpenSSL的版本為1.1.1及以上,且TLS的版本為1.3以上。
執行
sudo yum update openssl -y命令,升級OpenSSL。執行
openssl version命令,查詢升級結果。若結果如下所示,則表示OpenSSL升級成功。
OpenSSL 1.1.1k FIPS 25 Mar 2021根據接入網關的地區,執行如下命令。
美國(維吉尼亞):
openssl s_client -connect pub-us-east-1.dg.aliyuncs.com:443 -tls1_3|grep Cipher美國(矽谷):
openssl s_client -connect pub-us-west-1.dg.aliyuncs.com:443 -tls1_3|grep Cipher
查看返回的結果。
若結果如下所示,則表示TLS升級成功(版本為1.3)。
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256 Cipher : TLS_AES_128_GCM_SHA256