Една от причините да нямате IP адреса на екземпляра в общото име на сертификата на сървъра е, че тези IP адреси могат да се променят. Какъв е IP адресът на екземпляр А днес, може да бъде IP адресът на екземпляр Б утре, защото А е изтрит или А е решил, че вече не иска IP адреса. Така че името на екземпляра беше решено като по-уникална идентификация на екземпляра.
Също така клиентските библиотеки mysql по подразбиране имат деактивирана проверка на име на хост. http://dev.mysql.com/doc/refman /5.7/en/ssl-options.html
По отношение на MITM атаките, не е възможно MITM да атакува екземпляр на Cloud SQL, тъй като сертификатът на сървъра и всеки от клиентските сертификати са подписани от уникални самоподписани CA, които никога не се използват за подписване на повече от един сертификат. Сървърът се доверява само на сертификати, подписани от един от тези CA. Причината за използването на уникални CA за клиентски сертификат беше, че MySQL 5.5 не поддържаше списъци за анулиране на сертификати и ние също не искахме да работим с CRL, но искахме да поддържаме изтриване на клиентски сертификати.
Ще разгледаме начини за поддържане на SSL за клиенти, които не могат да изключат валидирането на име на хост. Но не мога да обещая ETA за това.
Екип на Cloud SQL.
