Een van de redenen waarom het IP-adres van de instantie niet in de algemene naam van het servercertificaat staat, is omdat deze IP's kunnen veranderen. Wat is vandaag het IP-adres van instantie A kan morgen het IP-adres van instantie B zijn, omdat A is verwijderd, of A heeft besloten het IP-adres niet meer te willen. Dus werd besloten dat de instantienaam een meer unieke identificatie van de instantie was.
Ook hebben de mysql-clientbibliotheken standaard hostnaamverificatie uitgeschakeld. http://dev.mysql.com/doc/refman /5.7/nl/ssl-options.html
Met betrekking tot MITM-aanvallen is het niet mogelijk om een Cloud SQL-instantie aan te vallen, omdat het servercertificaat en elk van de clientcertificaten zijn ondertekend door unieke zelfondertekende CA's die nooit worden gebruikt om meer dan één certificaat te ondertekenen. De server vertrouwt alleen certificaten die zijn ondertekend door een van deze CA's. De reden voor het gebruik van unieke CA's per clientcertificaat was omdat MySQL 5.5 geen lijsten voor het intrekken van certificaten ondersteunde, en we ook geen CRL's wilden behandelen, maar het verwijderen van clientcertificaten wilden ondersteunen.
We zullen manieren onderzoeken om SSL te ondersteunen voor klanten die de validatie van de hostnaam niet kunnen uitschakelen. Maar ik kan hierover geen ETA beloven.
Cloud SQL-team.