|
Задавайте вопросы, мы ответим
Вы не зашли.
Привет, всем.
Начал настраивать реплику через ssl ключи и заметил интересную вещь. Когда создаешь список отозванных ssl ключей (crl.pem), то этот список распространяется, только на текущий сервер, достаточно взять один сертификат из этого списка и попробовать подключиться с того, сервера где нет этого списка, и вуаля есть соединение с репликой. А, зачем тогда нужен этот список если он не рабочий?! Видимо, я что-то не то делал, подскажите что не так, куда копать?
Неактивен
А в чем, собственно, проблема разложить CRL на все серверы? Если списка нет, то не с чем сравнивать, следовательно, и непонятно, как отзывать?
Либо я не понял вопроса 
Неактивен
Знаете, а вы правы, только, то что вы сказали должно быть в оригинале.
А, на практике все чуть иначе, представим такую ситуацию, у фирмы украли сертификат, а потом по этому сертификату злоумышленник производит подключение к БД.
Какие есть варианты решения?
- Остановить всю реплику и заново сгенерировать все сертификаты, это решаемо, но не реализуемо на многих проектах по разным причинам.
- Занести украденный сертификат в список отозванных сертификатов и уже по нему, злоумышленник не сможет подключиться.
Вот второй пункт меня и интересует )
Отредактированно gringo (26.01.2017 10:46:28)
Неактивен
Упс, проглядел сообщение.
Занесите
https://dev.mysql.com/doc/refman/5.6/en … al_ssl-crl — с помощью этой опции можно настроить список отозванных сертификатов. Его важно регулярно перегенерировать и обновлять, если опция включена.
Неактивен
