En av anledningarna till att instansens IP-adress inte finns i servercertifikatets gemensamma namn är att dessa IP-adresser kan ändras. Vad är IP-adressen för instans A idag kan vara IP-adressen till instans B imorgon, eftersom A raderades eller A bestämde sig för att den inte vill ha IP-adressen längre. Så instansnamnet bestämdes som en mer unik identifiering av instansen.
Dessutom har mysql-klientbiblioteken som standard värdnamnsverifiering inaktiverad. http://dev.mysql.com/doc/refman /5.7/en/ssl-options.html
När det gäller MITM-attacker är det inte möjligt att MITM attackerar en Cloud SQL-instans eftersom servercertifikatet och vart och ett av klientcertifikaten är signerade av unika självsignerade CA:er som aldrig används för att signera mer än ett certifikat. Servern litar bara på certifikat som är signerade av en av dessa certifikatutfärdare. Anledningen till att använda unika certifikatutfärdare per klientcertifikat var att MySQL 5.5 inte stödde listor för återkallande av certifikat, och vi ville inte heller hantera CRL:er utan ville stödja radering av klientcertifikat.
Vi kommer att undersöka sätt att stödja SSL för klienter som inte kan stänga av värdnamnsvalidering. Men jag kan inte lova en ETA på detta.
Cloud SQL Team.