Mysql
 sql >> Base de données >  >> RDS >> Mysql

Validation de certificat sur Cloud SQL

L'une des raisons pour lesquelles l'adresse IP de l'instance n'apparaît pas dans le nom commun du certificat de serveur est que ces adresses IP peuvent changer. Quelle est l'adresse IP de l'instance A aujourd'hui peut être l'adresse IP de l'instance B demain, car A a été supprimé, ou A a décidé qu'il ne voulait plus l'adresse IP. Ainsi, le nom de l'instance a été décidé comme étant une identification plus unique de l'instance.

De plus, les bibliothèques clientes mysql ont par défaut la vérification du nom d'hôte désactivée. http://dev.mysql.com/doc/refman /5.7/fr/options-ssl.html

En ce qui concerne les attaques MITM, il n'est pas possible d'attaquer une instance Cloud SQL par MITM, car le certificat du serveur et chacun des certificats client sont signés par des autorités de certification auto-signées uniques qui ne sont jamais utilisées pour signer plus d'un certificat. Le serveur ne fait confiance qu'aux certificats signés par l'une de ces autorités de certification. La raison de l'utilisation d'autorités de certification uniques par certificat client était que MySQL 5.5 ne prenait pas en charge les listes de révocation de certificats, et nous ne voulions pas non plus traiter les CRL, mais souhaitions prendre en charge la suppression des certificats clients.

Nous examinerons les moyens de prendre en charge SSL pour les clients qui ne peuvent pas désactiver la validation du nom d'hôte. Mais je ne peux pas promettre d'ETA à ce sujet.

Équipe Cloud SQL.