Emitir certificados SSL de clientes para o servidor MySQL para clientes - isso é seguro?

3

Tenho o MySQL instalado em um VPS, que usarei para hospedar vários bancos de dados para clientes, que os usarão de um front-end.

Obriguei toda a comunicação para cada banco de dados a ser via SSL, e gerarei um conjunto separado de certificados / chaves SSL de cliente para cada cliente diferente.

Minha pergunta é: o servidor MySQL usa o mesmo certifcate / key do servidor SSL para comunicação com cada cliente diferente. Será que cada cliente com um certificado de cliente diferente será suficiente para garantir que não seria capaz de espionar a comunicação de cada um com o servidor de banco de dados?

    
por Lewis Bassett 18.09.2011 / 15:29

2 respostas

1

Resposta curta: sim.

Resposta mais longa: sim, porque os dois pares de chaves de cliente e servidor estão envolvidos na troca das chaves de sessão nonce que protegem uma determinada transação. Se o cliente B obtiver uma sessão completa de texto cifrado entre o cliente A e o servidor, ela poderá descriptografar isso se tiver a chave privada do servidor ou a chave privada do cliente A. Mas o cliente B tem apenas sua própria chave privada e a chave pública do servidor; isso não ajudará a descriptografar as transações do cliente A com o servidor.

    
por 18.09.2011 / 15:33
3

Pelo que entendi, a conexão SSL / TLS do servidor é suficiente para evitar interceptação. Um certificado de cliente não fornece criptografia adicional (exceto talvez durante o handshake) para autenticar o cliente.

Se você tem um certificado de cliente ou não, o cliente e o navegador se comunicam usando o nível mais alto de criptografia que ambos suportam. O certificado do cliente simplesmente garante que o cliente é quem diz ser.

Tudo bem que o servidor MySQL use o mesmo certificado TLS / SSL para se comunicar com todos os clientes, porque ele terá um handshake diferente para cada um. Assim como em um servidor da Web, você pode se comunicar com vários clientes usando o mesmo certificado.

    
por 18.09.2011 / 16:18