Jednym z powodów braku adresu IP instancji we wspólnej nazwie certyfikatu serwera jest to, że te adresy IP mogą się zmieniać. Jaki jest adres IP instancji A dzisiaj, może być adresem IP instancji B jutro, ponieważ A został usunięty lub A zdecydował, że nie chce już adresu IP. Tak więc nazwa instancji została uznana za bardziej unikalną identyfikację instancji.
Ponadto biblioteki klienta mysql domyślnie mają wyłączoną weryfikację nazwy hosta. http://dev.mysql.com/doc/refman /5.7/pl/ssl-opcje.html
W odniesieniu do ataków MITM nie jest możliwe zaatakowanie przez MITM instancji Cloud SQL, ponieważ certyfikat serwera i każdy z certyfikatów klienta są podpisywane przez unikalne, samopodpisane CA, które nigdy nie są używane do podpisywania więcej niż jednego certyfikatu. Serwer zawsze ufa tylko certyfikatom podpisanym przez jeden z tych urzędów certyfikacji. Powodem używania unikalnych urzędów certyfikacji na certyfikat klienta było to, że MySQL 5.5 nie obsługiwał list odwołania certyfikatów, a także nie chcieliśmy zajmować się listami CRL, ale chcieliśmy obsługiwać usuwanie certyfikatów klientów.
Przyjrzymy się sposobom obsługi SSL dla klientów, którzy nie mogą wyłączyć weryfikacji nazwy hosta. Ale nie mogę obiecać ETA w tej sprawie.
Zespół Cloud SQL.
