Como o Atlas criptografa meus dados?
O Atlas usa criptografia de volume inteiro (disco) para todos os dados em repouso (data at rest), incluindo os dados do cluster e backups desses dados.
O Atlas também requer criptografia TLS para dados do cliente e comunicações de rede intra-cluster.
Se a sua organização exige informações mais específicas sobre criptografia Atlas , entre em contato como Suporte MongoDB do Atlas :
No Atlas, acesse a página Support.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Support na barra de navegação.
Clique em View plan.
A página Suporte é exibida.
Posso desativar o TLS no meu sistema?
No.
Quais versões do TLS são suportadas pelo Atlas?
O Atlas requer conexões TLS para todos os Atlas clusters. Após julho de 2020, o Atlas habilitou a versão 1.2 do protocolo Transport Layer Security (TLS) como padrão para todos os novos Atlas clusters, independentemente da versão do MongoDB.
O MongoDB 7.0 e posteriores desativaram o suporte para TLS 1.0 onde TLS 1.1+ está disponível. Você pode configurar manualmente TLS 1.1 ou 1.0 editando a configuração do cluster.
Importante
A partir de 31st de2025 julho, o Atlas não oferecerá mais suporte a TLS 1.0 ou 1.1 em nenhuma circunstância. O Atlas atualizará todos os clusters para rejeitar tentativas de conexão com TLS. 10 11ou..
Qualquer conexão de cliente configurada para TLS 1.0 ou 1.1 passará por uma interrupção de serviço durante este upgrade. Para evitar isso, defina a versão mínima TLS dos seus clusters para 1.2 na primeira oportunidade.
Você pode saber mais sobre prazos e motivos para a mudança no Payment Card Industry (PCI), bem como no National Institute of Standards and Technology (NIST).
Se tiver dúvidas sobre as versões suportadas do TLS ou não puder atualizar seus aplicativos para ser compatível com o TLS 1.2, entre em contato com o suporte do MongoDB Atlas.
Para abrir um ticket de suporte Atlas :
No Atlas, acesse a página Support.
Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.
Clique no ícone Support na barra de navegação.
Clique em View plan.
A página Suporte é exibida.
Como posso saber se meus aplicativos suportam TLS 1.2?
Aplicativos cujas linguagens de programação subjacentes ou bibliotecas de segurança são anteriores ao TLS 1.2 podem precisar de atualização para uma versão mais recente a fim de suportar o TLS 1.2. Talvez você também precise atualizar o sistema operacional do host do aplicativo para oferecer suporte ao TLS 2.
O MongoDB e o Atlas não fornecem serviços para auditar aplicativos externos para quais versões do TLS são compatíveis. Serviços de terceiros, como howsmyssl.com , podem fornecer as ferramentas apropriadas. O MongoDB não endossa este serviço e sua referência é apenas informativa. Use os procedimentos da sua organização para selecionar o fornecedor ou serviço para auditoria dos aplicativos.
O que devo fazer para atualizar meus clusters para TLS 1.2?
Realize uma auditoria de seus aplicativos para suporte ao TLS 1.2.
Atualize todos os componentes da sua pilha de tecnologia que não são compatíveis com TLS 1.2.
Modifique sua configuração de cluster para utilizar o TLS 1.2.
Posso forçar a ativação do TLS 1.0?
O Atlas permite que você configure manualmente o TLS 1.0 durante a modificação do cluster.
Habilitar o TLS 1.0 para qualquer cluster do Atlas acarreta riscos significativos. Considere habilitar o TLS 1.0 somente pelo tempo necessário para atualizar sua pilha de aplicativos para oferecer suporte ao TLS 1.2.
Importante
A partir de 31st de2025 julho, o Atlas não oferecerá mais suporte a TLS 1.0 ou 1.1 em nenhuma circunstância. O Atlas atualizará todos os clusters para rejeitar tentativas de conexão com TLS. 10 11ou..
Qualquer conexão de cliente configurada para TLS 1.0 ou 1.1 passará por uma interrupção de serviço durante este upgrade. Para evitar isso, defina a versão mínima TLS dos seus clusters para 1.2 na primeira oportunidade.
Qual autoridade de certificação assina certificados TLS do MongoDB Atlas?
Com a adição do Google Trust Services como autoridade de certificação adicional, os certificados TLS dos nós do Atlas cluster agora são assinados pelo Google Trust Services ou pelo Let's Encrypt para melhorar a alta disponibilidade. O Google Trust Services será usado ativamente em conjunto com a Autoridade de Certificação Let's Encrypt. Você deve adicionar certificados CA para a Autoridade de Certificação raiz GTS Root R1, GTS Root R2, GTS Root R3 ou GTS Root R4 do Google Trust Services aos armazenamentos de certificados confiáveis de seus clientes, além do Certificado Raiz X1 ISRG Autoridade do Let's Encrypt para garantir a continuação contínua do serviço.
O Atlas usará os certificados CA raiz GTS Root R3 e GTS Root R4 para suporte ao TLS 1.3 no futuro.
Observação
A maioria dos ambientes de aplicação já tem o Let's Encrypt e o Google Trust Services em sua lista de Autoridade de Certificação confiável.
Para baixar os certificados da Autoridade de Certificação, consulte o repositório do Google Trust Services e o ISRG Root X1.
Observação
O Atlas gira automaticamente os certificados. Você não precisa executar o comando rotateCertificates. Utilize o comando rotateCertificates somente se você deseja girar os certificados manualmente.
Com que frequência um Atlas Cluster gira certificados TLS?
Os certificadosTLS são válidos por 90 dias a partir do dia em que são emitidos. Os certificados são girados 42 dias antes da data de expiração do certificado.
Use o seguinte comando para verificar a expiração do seu certificado TLS de um nó:
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
Autoridade de Certificação Codificada
Não recomendamos a codificação ou a fixação de certificados intermediários porque isso introduz uma carga operacional e um risco de disponibilidade. Se o Let's Encrypt ou o Google Trust Services girar ou substituir seu certificado intermediário fixado, seu aplicação poderá não conseguir se conectar, o que resultará em uma interrupção.
Se você precisar fixar um certificado, fixe-o nos certificados da autoridade de certificação e não em certificados intermediários.
Usuários do Java
O certificado raiz ISRG do Let's Encrypt e os certificados raiz do Google Trust Services estão disponíveis no armazém confiável padrão do Java versão 7 após a atualização 7u391 e no Java versão 8 após a 8u381 atualização. Use uma versão Java após 18 de julho de 2023.
Verifique se o software Java do consumidor está atualizado. Use as versões mais recentes do Java para utilizar muitos aprimoramentos além desses novos requisitos da autoridade de certificação para nossos certificados TLS.
Se você tiver seu próprio armazenamento de confiança, adicione os certificados Vamos Criptografar e Google Trust Services a ele. Para saber mais, consulte Qual autoridade de certificação assina certificados TLS do MongoDB Atlas ?
Usuários do Windows Server
As Autoridades de Certificação raiz X1 ISRG, GTS Root R1 e GTS Root R2 não estão incluídas por padrão no Windows Server, mas estão disponíveis no Programa Raiz Confiável da Microsoft.
Para configurar o Windows Server para baixar certificados raiz confiáveis, consulte a Documentação do Windows.
Usuários AMI do Amazon Linux
Algumas versões do Amazon Linux AMI podem não ter os certificados ISRG Root X1 e GTS Root R1 e R2. Migre para uma versão mais recente do Amazon Linux para obter os certificados raiz necessários. A partir de junho 2025, exigiremos o suporte dos certificados ISRG Root X1, GTS Root R1 e R2 para o Atlas para evitar problemas de compatibilidade de certificados.
Se você precisar usar um Amazon Linux AMI mais antigo, instale manualmente a Autoridade de Certificação raiz ISRG Root X1, GTS Root R1 e R2.
Todos os Outros
Essa alteração não deve afetar você se você usar uma linguagem de programação e uma versão do sistema operacional recentes.