SQLinfo.ru - Все о MySQL Highload++ 2017

Форум пользователей MySQL

Задавайте вопросы, мы ответим

Вы не зашли.

#1 26.01.2017 07:39:56

gringo
Участник
Зарегистрирован: 26.01.2017
Сообщений: 2

mysql реплика через ssl сертификат

Привет, всем.

Начал настраивать реплику через ssl ключи и заметил интересную вещь. Когда создаешь список отозванных ssl ключей (crl.pem), то этот список распространяется, только на текущий сервер, достаточно взять один сертификат из этого списка и попробовать подключиться с того, сервера где нет этого списка, и вуаля есть соединение с репликой. А, зачем тогда нужен этот список если он не рабочий?! Видимо, я что-то не то делал, подскажите что не так, куда копать?

Неактивен

 

#2 26.01.2017 10:08:37

paulus
Администратор
MySQL Authorized Developer and DBA
Зарегистрирован: 22.01.2007
Сообщений: 6635

Re: mysql реплика через ssl сертификат

А в чем, собственно, проблема разложить CRL на все серверы? Если списка нет, то не с чем сравнивать, следовательно, и непонятно, как отзывать?

Либо я не понял вопроса smile

Неактивен

 

#3 26.01.2017 10:45:11

gringo
Участник
Зарегистрирован: 26.01.2017
Сообщений: 2

Re: mysql реплика через ssl сертификат

Знаете, а вы правы, только, то что вы сказали должно быть в оригинале.
А, на практике все чуть иначе, представим такую ситуацию, у фирмы украли сертификат, а потом по этому сертификату злоумышленник производит подключение к БД.
Какие есть варианты решения?
- Остановить всю реплику и заново сгенерировать все сертификаты, это решаемо, но не реализуемо на многих проектах по разным причинам.
- Занести украденный сертификат в список отозванных сертификатов и уже по нему, злоумышленник не сможет подключиться.

Вот второй пункт меня и интересует )

Отредактированно gringo (26.01.2017 10:46:28)

Неактивен

 

#4 26.02.2017 19:50:45

paulus
Администратор
MySQL Authorized Developer and DBA
Зарегистрирован: 22.01.2007
Сообщений: 6635

Re: mysql реплика через ssl сертификат

Упс, проглядел сообщение.

Занесите smile
https://dev.mysql.com/doc/refman/5.6/en … al_ssl-crl — с помощью этой опции можно настроить список отозванных сертификатов. Его важно регулярно перегенерировать и обновлять, если опция включена.

Неактивен

 

Board footer

Работает на PunBB
© Copyright 2002–2008 Rickard Andersson