TLS and certificates
StableTLS для PostgreSQL через Gateway, режимы sslmode и CA-chain.
Обновлено: 4 февраля 2026 г.
spg99 использует TLS на всех внешних точках входа.
PostgreSQL подключения (Gateway)
- Gateway принимает подключения PostgreSQL только по TLS.
- Минимальная версия протокола: TLS 1.2.
- В DSN указывайте как минимум
sslmode=require.
Пример:
postgres://<pg_user>:<pg_password>@<gateway-host>:5432/<db-name>?sslmode=require
Про sslmode
require— шифрование без проверки цепочки (минимальный уровень, подходит для большинства клиентов).verify-full— строгая проверка сертификата и hostname (рекомендуется для повышенных требований).
Для этого нужен CA‑chain, которым подписан сертификат Gateway/worker.
В managed окружении CA‑chain предоставляет платформа (Console/поддержка). В self-hosted — используйте ваш CA, который вы сконфигурировали в CP.
TLS внутри compute
Compute/Agent включает TLS на стороне PostgreSQL и настраивает HBA так, чтобы:
- требовать SSL (
hostssl); - не принимать plaintext соединения.
Рекомендации
- Не отключайте TLS‑проверки «на всякий случай» (например,
sslmode=disable). - Храните
pg_passwordи API key отдельно и ротуйте по политике безопасности.