数据库网关计划于2025年08月10日升级(发布新版本),届时美国地域的网关将不再支持TLS 1.2协议中不安全的(TLS_RSA_WITH_3DES_EDE_CBC_SHA)加密算法。
变更时间
2025年08月10日
变更地域
美国(佛吉尼亚)和美国(硅谷)。
该地域为接入网关的地域,即启动数据库网关代理(Agent)时所指定的地域。
变更内容
数据库网关升级,美国地域的网关将不再支持TLS 1.2协议的TLS_RSA_WITH_3DES_EDE_CBC_SHA加密算法。
影响与建议
影响
在美国地域,使用TLS 1.2协议的TLS_RSA_WITH_3DES_EDE_CBC_SHA加密算法的网关将不可用。
建议
确保每个部署数据库网关代理(Agent)的机器,在数据库网关升级后TLS协议和加密算法依然可用。以Linux(Red Hat)系统为例,您可以参考如下操作排查处理。
登录部署数据库网关代理的机器。
根据接入网关的地域,执行如下命令。
美国(弗吉尼亚):
openssl s_client -connect pub-us-east-1.dg.aliyuncs.com:443 -tls1_2|grep Cipher美国(硅谷):
openssl s_client -connect pub-us-west-1.dg.aliyuncs.com:443 -tls1_2|grep Cipher
查看返回的结果。
若结果如下所示,则表示TLS的版本为1.2,且未使用TLS_RSA_WITH_3DES_EDE_CBC_SHA算法。在数据库网关升级后,您无需做任何操作。否则,您须继续向下执行。
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256 Cipher : ECDHE-RSA-AES128-GCM-SHA256可选:升级TLS。
说明若您使用的是TLS_RSA_WITH_3DES_EDE_CBC_SHA算法,则须确保OpenSSL的版本为1.1.1及以上,且TLS的版本为1.3以上。
执行
sudo yum update openssl -y命令,升级OpenSSL。执行
openssl version命令,查询升级结果。若结果如下所示,则表示OpenSSL升级成功。
OpenSSL 1.1.1k FIPS 25 Mar 2021根据接入网关的地域,执行如下命令。
美国(弗吉尼亚):
openssl s_client -connect pub-us-east-1.dg.aliyuncs.com:443 -tls1_3|grep Cipher美国(硅谷):
openssl s_client -connect pub-us-west-1.dg.aliyuncs.com:443 -tls1_3|grep Cipher
查看返回的结果。
若结果如下所示,则表示TLS升级成功(版本为1.3)。
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256 Cipher : TLS_AES_128_GCM_SHA256