Mysql
 sql >> Database >  >> RDS >> Mysql

Convalida del certificato su Cloud SQL

Uno dei motivi per cui l'indirizzo IP dell'istanza non è presente nel nome comune del certificato del server è perché questi IP possono cambiare. Qual è l'indirizzo IP dell'istanza A oggi può essere l'indirizzo IP dell'istanza B domani, perché A è stato eliminato o A ha deciso che non desidera più l'indirizzo IP. Pertanto, il nome dell'istanza è stato deciso come un'identificazione più univoca dell'istanza.

Inoltre, le librerie client mysql per impostazione predefinita hanno la verifica del nome host disabilitata. http://dev.mysql.com/doc/refman /5.7/en/ssl-options.html

Per quanto riguarda gli attacchi MITM, non è possibile attaccare un'istanza Cloud SQL tramite MITM perché il certificato del server e ciascuno dei certificati client sono firmati da CA autofirmate univoche che non vengono mai utilizzate per firmare più di un certificato. Il server si fida sempre e solo dei certificati firmati da una di queste CA. Il motivo per l'utilizzo di CA univoche per certificato client era dovuto al fatto che MySQL 5.5 non supportava gli elenchi di revoche di certificati e inoltre non volevamo gestire i CRL, ma volevamo supportare l'eliminazione dei certificati client.

Esamineremo i modi per supportare SSL per i client che non possono disattivare la convalida del nome host. Ma non posso promettere un ETA su questo.

Team Cloud SQL.