Как да се свържа с PostgreSQL от Phoenix Web App чрез SSL?

Фон

Изпитвах същия проблем при свързването на Phoenix/Ecto/Postgrex към Azure Database за PostgreSQL сървър. Дори след настройка на ssl: true в моята Repo конфигурация все още не успях да се свържа с базата данни с Postgrex, въпреки че се свързвах с psql "postgresql://...?sslmode=require" -U ... на същата машина успя. Грешката се върна с ssl: true беше:

[error] Postgrex.Protocol (#PID<0.1853.0>) failed to connect: **(DBConnection.ConnectionError) ssl connect: closed

** (DBConnection.ConnectionError) connection not available because of disconnection
    (db_connection) lib/db_connection.ex:926: DBConnection.checkout/2
    ...

След като се разрових в изходния код, открих, че неуспешното извикване всъщност е ssl.connect/3 извикване от ssl модула Erlang :

# deps/postgrex/lib/postgrex/protocol.ex:535

defp ssl_connect(%{sock: {:gen_tcp, sock}, timeout: timeout} = s, status) do
  case :ssl.connect(sock, status.opts[:ssl_opts] || [], timeout) do
    {:ok, ssl_sock} ->
      startup(%{s | sock: {:ssl, ssl_sock}}, status)
    {:error, reason} ->
      disconnect(s, :ssl, "connect", reason)
  end
end

Извършвайки известно наблюдение с Wireshark, успях да видя това при успешно свързване с psql , можех да видя пакети с TLSV1.2 като протокол, но когато postgrex се свързваше с ssl: true Виждах пакети с SSL като протокол, преди да успее да се свърже.

Разглеждане на документи с опции за Ecto.Adapters.Postgres , ще видите, че има ssl_opts конфигурационна опция, която в крайна сметка се предава на :ssl.connect/3 в който можете да задавате versions за да замените версията(ите) на TLS, използвани за свързване.

Решение

Успях да се свържа с базата данни, като добавих следното към моята Repo конфигурация:

ssl_opts: [
  versions: [:"tlsv1.2"]
]

Пълната ми конфигурация в крайна сметка изглеждаше така:

config :myapp, Myapp.Repo,
  adapter: Ecto.Adapters.Postgres,
  username: "example@sqldat.com",
  password: "...",
  database: "myapp_dev",
  port: 5432,
  hostname: "dev-db.postgres.database.azure.com",
  pool_size: 10,
  ssl: true,
  ssl_opts: [
    versions: [:"tlsv1.2"]
  ]

Не съм много сигурен защо TLS версията трябва да бъде зададена изрично, може би някой с повече опит в тази област може да хвърли малко светлина върху това.