È insolito che un client di database installi il certificato SSL del server?

Utilizziamo Amazon RDS per i nostri database sul lavoro. Recentemente abbiamo ottenuto un'email automatizzata da Amazon affermando che avrebbe aggiornato i certificati SSL e che se non aggiorniamo le istanze del nostro database nel giro di X volte, avrebbero smesso di funzionare. Fortunatamente, forniscono istruzioni che spiegano come farlo nella documentazione di AWS .

Le istruzioni sono abbastanza dirette, anche se devo ammettere che sono un po 'confuso. I passaggi 1 e 2 descrivono come scaricare il certificato SSL e installarlo nelle applicazioni client. Non è abbastanza insolito che un'applicazione client debba installare il certificato SSL del server per connettersi ad esso? Potrei essere totalmente off-base qui, ma l'analogia che stavo pensando era che i browser web in modo simile non hanno bisogno di essere fornito con un file di certificato PKCS7 prima di accedere a siti web, giusto? Li accedono solo.

Allo stesso modo, non ricordo mai di wherer installare un file di certificato in MySQL WorkBench, ad esempio, prima di connettersi a un'istanza di database. Quindi sto pensando che il passaggio 1 e il passaggio 2 di quel documento collegato (sopra) sono probabilmente inutili nella mia situazione, e forse nelle situazioni della maggior parte delle persone.

Ma poi, come ho detto, potrei essere completamente fuori da questa base. Qualcuno mi può illuminare quando e perché mai dovresti installare un cert SSL in un'applicazione client che accede a un database?

  • Come installare un singolo certificato SSL per www e non-www
  • Apache SSL Proxy non riesce a trovare il certificato client?
  • Come configurare SSL per CouchDB
  • Configurare Tomcat 7 per utilizzare solo TLS
  • Un certificato SSL (un dominio) per due server?
  • CDN che support SSL personalizzato sul dominio personalizzato
  • OS X non si fidava della radice primaria di Thawte CA - G3
  • Righe SSL: SSL23_WRITE: errore di handshake ssl
  • One Solution collect form web for “È insolito che un client di database installi il certificato SSL del server?”

    Usano un PKI privato, quindi essenzialmente autografi, questo ha senso. È una sorta di ctriggers pratica, ma la documentazione è tutta lì, speriamo che tu abbia un modo fuori banda per confermare i cert prima di scaricarli. Il rischio è che un utente malintenzionato potrebbe modificare la pagina web KB e i certs e possedere la connessione; non avresti mai saputo finché non avesse colpito i giornali.

    / Edit – vai avanti e scarica i cert e guarda la catena di fiducia. A less che non l'abbia già fatto da te, non ti fidi della CA principale di Amazon.

    Sono stato più spesso dall'altro lato – volendo fare una connessione sicura con un servizio cloud senza wherer pagare un vero e proprio affare da parte mia. Vorrei esportre il mio autoscatto e importrlo nel servizio cloud, in modo che sappiano che stanno collegando a chi ho detto loro che sono. Metà di una pagnotta è migliore di nessuno in quel caso.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.