Modificar valores de CRYPTO_CHECKSUM_*Modificar as configurações de ALLOW_WEAK_CRYPTO*

Modificar a configurações da opção NATIVE_NETWORK_ENCRYPTION

Depois de habilitar a opção NATIVE_NETWORK_ENCRYPTION, é possível modificar as configurações. Atualmente, é possível modificar as configurações da opção NATIVE_NETWORK_ENCRYPTION somente com a AWS CLI ou a API do RDS. Não é possível usar o console. O exemplo a seguir modifica duas configurações na opção.


aws rds add-option-to-option-group \
    --option-group-name my-option-group \
    --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \
    --apply-immediately

Para saber como modificar as configurações da opção usando a CLI, consulte AWS CLI. Para ter mais informações sobre cada configuração, consulte Configurações da opção NATIVE_NETWORK_ENCRYPTION.

Tópicos

Modificar valores de CRYPTO_CHECKSUM_*
Modificar as configurações de ALLOW_WEAK_CRYPTO*

Modificar valores de CRYPTO_CHECKSUM_*

Se você modificar as configurações de opções de NATIVE_NETWORK_ENCRYPTION, as seguintes configurações de opções devem ter pelo menos uma cifra comum:

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

O exemplo a seguir mostra um cenário no qual você modifica SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER. A configuração é válida porque CRYPTO_CHECKSUM_TYPES_CLIENT e CRYPTO_CHECKSUM_TYPES_SERVER usam SHA256.

Configuração da opção	Valores antes da modificação	Valores após modificação
`SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT`	`SHA256`, `SHA384`, `SHA512`	Sem alterações
`SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER`	`SHA256`, `SHA384`, `SHA512`, `SHA1`, `MD5`	`SHA1,MD5,SHA256`

Como outro exemplo, suponha que você queira modificar SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER de sua configuração padrão para SHA1,MD5. Nesse caso, certifique-se de que tenha definido SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT como SHA1 ou MD5. Esses algoritmos não são incluídos nos valores padrão para SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT.

Modificar as configurações de ALLOW_WEAK_CRYPTO*

Para definir as opções SQLNET.ALLOW_WEAK_CRYPTO* do valor padrão para FALSE, certifique-se de que as seguintes condições sejam atendidas:

SQLNET.ENCRYPTION_TYPES_SERVER e SQLNET.ENCRYPTION_TYPES_CLIENT têm um método de criptografia segura correspondente. Um método é considerado seguro se não for DES, 3DES ou RC4 (todos os comprimentos de chaves).
SQLNET.CHECKSUM_TYPES_SERVER e SQLNET.CHECKSUM_TYPES_CLIENT têm um método de soma de verificação segura correspondente. Um método é considerado seguro se não for MD5.
O cliente é corrigido com a PSU de julho de 2021. Se o cliente não for corrigido, o cliente perderá a conexão e receberá o erro ORA-12269.

O exemplo a seguir mostra as configurações de NNE de exemplo. Suponha que você queira definir SQLNET.ENCRYPTION_TYPES_SERVER e SQLNET.ENCRYPTION_TYPES_CLIENT para FALSE, bloqueando conexões não seguras. As configurações da opção de soma de verificação atendem aos pré-requisitos porque ambas têm SHA256. No entanto, SQLNET.ENCRYPTION_TYPES_CLIENT e SQLNET.ENCRYPTION_TYPES_SERVER usam os métodos de criptografia DES, 3DES e RC4, que não são seguros. Portanto, para definir as opções de SQLNET.ALLOW_WEAK_CRYPTO* para FALSE, primeiro defina SQLNET.ENCRYPTION_TYPES_SERVER e SQLNET.ENCRYPTION_TYPES_CLIENT para um método de criptografia seguro, como AES256.

Configuração da opção	Valores
`SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT`	`SHA256`, `SHA384`, `SHA512`
`SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER`	`SHA1,MD5,SHA256`
`SQLNET.ENCRYPTION_TYPES_CLIENT`	`RC4_256`, `3DES168`, `DES40`
`SQLNET.ENCRYPTION_TYPES_SERVER`	`RC4_256`, `3DES168`, `DES40`

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como definir valores de NNE no sqlnet.ora

Remover a opção