Jedním z důvodů, proč není adresa IP instance v běžném názvu certifikátu serveru, je skutečnost, že tyto adresy IP se mohou změnit. Jaká je IP adresa instance A dnes, může být zítra IP adresa instance B, protože A byla smazána, nebo se A rozhodla, že už IP adresu nechce. Bylo tedy rozhodnuto o názvu instance jako o jedinečnější identifikaci instance.
Klientské knihovny mysql mají také ve výchozím nastavení zakázáno ověřování názvu hostitele. http://dev.mysql.com/doc/refman /5.7/cs/ssl-options.html
Pokud jde o útoky MITM, není možné zaútočit MITM na instanci Cloud SQL, protože certifikát serveru a každý z klientských certifikátů jsou podepsány jedinečnými CA s vlastním podpisem, které se nikdy nepoužívají k podepisování více než jednoho certifikátu. Server vždy důvěřuje pouze certifikátům podepsaným jednou z těchto CA. Důvodem použití jedinečných certifikačních autorit na klientský certifikát byl fakt, že MySQL 5.5 nepodporovala seznamy zneplatněných certifikátů a také jsme nechtěli řešit CRL, ale chtěli jsme podpořit mazání klientských certifikátů.
Podíváme se na způsoby podpory SSL pro klienty, kteří nemohou vypnout ověřování názvu hostitele. Nemohu však slíbit odhadovaný čas příjezdu.
Cloud SQL tým.