Salah satu alasan untuk tidak memiliki alamat IP instans dalam nama umum sertifikat server adalah karena IP ini dapat berubah. Apa alamat IP instance A hari ini bisa menjadi alamat IP instance B besok, karena A telah dihapus, atau A memutuskan tidak menginginkan alamat IP lagi. Jadi, nama instance diputuskan sebagai identifikasi instance yang lebih unik.
Juga, perpustakaan klien mysql secara default menonaktifkan verifikasi nama host. http://dev.mysql.com/doc/refman /5.7/en/ssl-options.html
Sehubungan dengan serangan MITM, MITM tidak mungkin menyerang instans Cloud SQL karena sertifikat server dan setiap sertifikat klien ditandatangani oleh CA unik yang ditandatangani sendiri yang tidak pernah digunakan untuk menandatangani lebih dari satu sertifikat. Server hanya mempercayai sertifikat yang ditandatangani oleh salah satu CA ini. Alasan menggunakan CA unik per sertifikat klien adalah karena MySQL 5.5 tidak mendukung daftar pencabutan sertifikat, dan kami juga tidak ingin menangani CRL, tetapi ingin mendukung penghapusan sertifikat klien.
Kami akan mencari cara untuk mendukung SSL untuk klien yang tidak dapat menonaktifkan validasi nama host. Tapi saya tidak bisa menjanjikan ETA untuk ini.
Tim Cloud SQL.
