Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Oracle Secure Sockets Layer (SSL)
<a name="Appendix.Oracle.Options.SSL"></a>

Pour activer le chiffrement SSL pour une instance de base de données RDS for Oracle, ajoutez l’option Oracle SSL au groupe d’options associé avec l’instance de base de données. Amazon RDS utilise un deuxième port, comme l'exige Oracle, pour les connexions SSL. Cette approche permet à la fois d'établir un texte clair et une SSL-encrypted communication entre une instance de base de données et SQL\*Plus. Par exemple, vous pouvez utiliser le port avec communication en texte clair pour communiquer avec d'autres ressources au sein d'un VPC tout en utilisant le port avec SSL-encrypted communication pour communiquer avec des ressources extérieures au VPC.

**Note**  
Vous pouvez utiliser SSL ou Native Network Encryption (NNE), mais pas les deux, sur la même instance de base de données RDS for Oracle. Si vous utilisez le chiffrement SSL, veillez à désactiver tout autre chiffrement de connexion. Pour de plus amples informations, veuillez consulter [Oracle NNE (Native Network Encryption)](Appendix.Oracle.Options.NetworkEncryption.md).

SSL/TLS et NNE ne font plus partie d'Oracle Advanced Security. Dans RDS for Oracle, vous pouvez utiliser le chiffrement SSL avec toutes les éditions sous licence des versions de base de données suivantes :
+ Oracle Database 21c (21.0.0)
+ Oracle Database 19c (19.0.0)

**Topics**
+ [Versions TLS pour l'option Oracle SSL](#Appendix.Oracle.Options.SSL.TLS)
+ [Suites de chiffrement pour l'option Oracle SSL](#Appendix.Oracle.Options.SSL.CipherSuites)
+ [Support FIPS](#Appendix.Oracle.Options.SSL.FIPS)
+ [Compatibilité des certificats avec les suites de chiffrement](#Appendix.Oracle.Options.SSL.CertificateCompatibility)
+ [Ajout de l'option SSL](Appendix.Oracle.Options.SSL.OptionGroup.md)
+ [Configuration de SQL\*Plus de façon à utiliser SSL avec une instance de base de données RDS for Oracle](Appendix.Oracle.Options.SSL.ClientConfiguration.md)
+ [Connexion à une instance de base de données RDS for Oracle à l'aide de SSL](Appendix.Oracle.Options.SSL.Connecting.md)
+ [Configuration d'une connexion SSL via JDBC](Appendix.Oracle.Options.SSL.JDBC.md)
+ [Application d'une correspondance de nom unique avec une connexion SSL](Appendix.Oracle.Options.SSL.DNMatch.md)
+ [Dépannage des connexions SSL](Appendix.Oracle.Options.SSL.troubleshooting.md)

## Versions TLS pour l'option Oracle SSL
<a name="Appendix.Oracle.Options.SSL.TLS"></a>

Amazon RDS for Oracle prend en charge le protocole TLS (Transport Layer Security) version 1.0 et 1.2. Lorsque vous ajoutez une nouvelle option Oracle SSL, définissez `SQLNET.SSL_VERSION` explicitement sur une valeur valide. Les valeurs suivantes sont autorisées pour ce paramètre d'option :
+ `"1.0"` – Les clients ne peuvent se connecter à l'instance de base de données qu'avec TLS version 1.0. Pour les options Oracle SSL existantes, `SQLNET.SSL_VERSION` est défini automatiquement sur `"1.0"`. Vous pouvez modifier au besoin ce paramètre.
+ `"1.2"` – Les clients ne peuvent se connecter à l'instance de base de données qu'avec TLS 1.2.
+ `"1.2 or 1.0"` – Les clients peuvent se connecter à l'instance de base de données avec TLS 1.2 ou 1.0.

## Suites de chiffrement pour l'option Oracle SSL
<a name="Appendix.Oracle.Options.SSL.CipherSuites"></a>

Amazon RDS for Oracle prend en charge plusieurs suites de chiffrement SSL. Par défaut, l'option Oracle SSL est configurée pour utiliser la suite de chiffrement `SSL_RSA_WITH_AES_256_CBC_SHA`. Pour indiquer une autre suite de chiffrement à utiliser sur les connexions SSL, utilisez le paramètre d'option `SQLNET.CIPHER_SUITE`.

Vous pouvez spécifier plusieurs valeurs pour `SQLNET.CIPHER_SUITE`. Cette technique est utile si vous avez des liens de base de données entre vos instances de base de données et que vous décidez de mettre à jour vos suites de chiffrement.

Le tableau suivant résume la prise en charge de SSL pour RDS for Oracle dans toutes les éditions d’Oracle Database 19c et 21c.


| Suite de chiffrement (SQLNET.CIPHER\_SUITE) | Prise en charge des versions TLS (SQLNET.SSL\_VERSION) | Support FIPS | Conforme au programme FedRAMP | 
| --- | --- | --- | --- | 
| SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA (par défaut) | 1.0 et 1.2 | Oui | Non | 
| SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA256 | 1.2 | Oui | Non | 
| SSL\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | 1.2 | Oui | Non | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384 | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384 | 1.2 | Oui | Oui | 
| TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | 1.2 | Oui | Oui | 

## Support FIPS
<a name="Appendix.Oracle.Options.SSL.FIPS"></a>

RDS for Oracle vous permet d'utiliser la norme FIPS (Federal Information Processing Standard) 140-2. FIPS 140-2 est une norme du gouvernement américain qui définit les exigences de sécurité du module de chiffrement. Pour activer la norme FIPS, définissez `FIPS.SSLFIPS_140` sur `TRUE` pour l'option Oracle SSL. Quand la norme FIPS 140-2 est configurée pour SSL, les bibliothèques de chiffrement chiffrent les données entre le client et l'instance de base de données RDS for Oracle.

Les clients doivent utiliser la suite de chiffrement correspondante. FIPS-compliant Lors de l'établissement d'une connexion, le client et l'instance de base de données RDS for Oracle négocient quelle la suite de chiffrement utiliser lors de la transmission de messages dans les deux sens. Le tableau ci-dessous [Suites de chiffrement pour l'option Oracle SSL](#Appendix.Oracle.Options.SSL.CipherSuites) indique les suites de chiffrement FIPS-compliant SSL pour chaque version de TLS. Pour plus d'informations, consultez [Paramètres FIPS 140-2 d'Oracle Database](https://docs.oracle.com/en/database/oracle/oracle-database/12.2/dbseg/oracle-database-fips-140-settings.html#GUID-DDBEB3F9-B216-44BB-8C18-43B5E468CBBB) (langue française non garantie) dans la documentation sur Oracle Database.

## Compatibilité des certificats avec les suites de chiffrement
<a name="Appendix.Oracle.Options.SSL.CertificateCompatibility"></a>

RDS for Oracle prend en charge à la fois les certificats RSA et ECDSA (Elliptic Curve Digital Signature Algorithm). Lorsque vous configurez le protocole SSL pour votre instance de base de données, vous devez vous assurer que les suites de chiffrement que vous spécifiez dans le paramètre d’option `SQLNET.CIPHER_SUITE` sont compatibles avec le type de certificat utilisé par votre instance de base de données.

Le tableau suivant montre la compatibilité entre les types de certificats et les suites de chiffrement :


| Type de certificat | Suites de chiffrement compatibles | Suites de chiffrement incompatibles | 
| --- | --- | --- | 
| Certificats RSA (rds-ca-2019, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1) | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA256<br />SSL\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | 
| Certificats ECDSA (rds-ca-ecc384-g1) | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA256<br />SSL\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 

Lorsque vous spécifiez plusieurs suites de chiffrement dans le paramètre d’option `SQLNET.CIPHER_SUITE`, assurez-vous d’inclure au moins une suite de chiffrement compatible avec le type de certificat utilisé par votre instance de base de données. Si vous utilisez un groupe d’options avec plusieurs instances de base de données ayant différents types de certificats, incluez au moins une suite de chiffrement pour chaque type de certificat.

Si vous tentez d’associer un groupe d’options à une option SSL contenant uniquement des suites de chiffrement incompatibles avec le type de certificat d’une instance de base de données, l’opération échoue avec un message d’erreur indiquant l’incompatibilité.