Db2 の TLS 構成

Db2 データベース・システムは、Transport Layer Security (TLS) プロトコルの使用をサポートして、クライアントが Db2 サーバーの証明書を検証できるようにし、暗号化を使用してクライアントとサーバーの間の専用通信を提供します。

重要:

CVE-2023-32342への応答として、 Db2 KI を含むリリース DT223175 は、RSA 鍵交換を使用する TLS とは暗号に対して非 FIPS IBM Crypto for C (ICC) を使用します。これは、FIPS 認定の IBM Crypto for C (ICC) が CVE-2023-32342に対して脆弱であるためです。

FIPS 140 認定の暗号モジュールのみを使用する必要があるお客様は、厳密 FIPS モードを有効にする必要があります。厳密 FIPS モードでは、KI DT223175 が指定された Db2 リリースでは、 CVE-2023-32342に対して脆弱なすべての TLS 暗号およびバージョンが無効になります。

Db2 リリースの KI DT223175: で厳密モードが有効になっている場合、TLS には以下の制約事項が適用されます。

TLS 1.0 および 1.1 は、SSL_VERSIONS 設定に関係なく、厳密モードでは無効になります。これは、サポートされる暗号のみが RSA 鍵交換を使用するためです。 SSL_VERSIONS DBM CFG パラメーターが設定解除されているか、 TLSV1に設定されている場合、代わりに TLS 1.2 が有効になります。
RSA 鍵交換 (TLS_RSA_ *) を使用する TLS 1.2 暗号は無効になります。 SSL_CIPHERSPECS DBM CFG パラメーターに暗号が残っていない場合は、サポートされるすべての ECDHE 暗号が使用可能になります。 RSA 証明書を使用するインスタンスの場合、 Db2 は自動的に TLS 1.2 用の TLS_ECDHE_RSA 暗号を優先し、証明書の変更は必要ありません。
TLS 1.3 は CVE-2023-32342の影響を受けず、厳密な FIPS モードでは動作は変更されません。

厳密 FIPS モードを有効にする方法について詳しくは、業界標準を参照してください。

このセクションでは、TLS を使用したセキュアなデータ転送のために Db2® 環境を構成する方法について詳しく説明します。

注: TLS ハンドシェーク中に接続先の Db2 インスタンスのホスト名を検証するように、 Db2 11.5.6 以降のクライアントを構成できます。詳しくは、 Db2 11.5.6 クライアントのホスト名検証を参照してください。

注: AIXでこの機能を有効にする場合は、以下のパフォーマンスの考慮事項を確認してください。