É incomum que um cliente de banco de dados instale o certificado SSL do servidor?

3

Usamos o Amazon RDS para nossos bancos de dados no trabalho. Recentemente, recebemos um e-mail automatizado da Amazon informando que eles estariam atualizando os certificados SSL e que, se não atualizássemos nossas instâncias de banco de dados dentro de um período X, eles deixariam de funcionar. Felizmente, eles fornecem instruções explicando como fazer isso na documentação da AWS .

As instruções são bastante simples, embora eu tenha que admitir que estou um pouco confuso. As etapas 1 e 2 descrevem como fazer o download do certificado SSL e instalá-lo nos aplicativos clientes. Não é muito incomum que um aplicativo cliente precise instalar o certificado SSL do servidor para se conectar a ele? Eu poderia estar totalmente fora da base aqui, mas a analogia que eu estava pensando era que os navegadores da Web também não precisam ser fornecidos com um arquivo de certificado PKCS7 antes de acessar sites, certo? Eles apenas os acessam.

Da mesma forma, eu nem me lembro de ter que instalar um arquivo de certificado no MySQL WorkBench, por exemplo, antes de me conectar a uma instância de banco de dados. Então, estou pensando que os passos 1 e 2 desse documento vinculado (acima) são provavelmente desnecessários na minha situação e, talvez, nas situações da maioria das pessoas.

Mas então, como eu disse, eu poderia estar totalmente fora da base aqui. Alguém pode me esclarecer quando e por que você precisaria instalar um certificado SSL em um aplicativo cliente acessando um banco de dados?

    
por SoaperGEM 05.03.2015 / 20:05

1 resposta

3

Eles estão usando uma PKI privada, essencialmente certificados auto-assinados, isso faz sentido. É uma prática ruim, mas a documentação está toda lá, espero que você tenha uma maneira fora de banda para confirmar os certificados antes de baixá-los. O risco é que um invasor possa alterar a página da Web e os certificados do KB, e possuir sua conexão; você nunca saberia até chegar aos papéis.

/ Edit - vá em frente e faça o download dos certificados e veja a cadeia de confiança. A menos que você já tenha feito isso, você não confia na autoridade de certificação raiz da Amazon.

Eu tenho mais frequência do outro lado disso - querendo fazer uma conexão segura com um serviço de nuvem sem ter que pagar por um certificado real do meu lado. Eu exportaria meu certificado auto-assinado e o importaria para o serviço de nuvem, para que eles soubessem que estão se conectando com quem eu disse a eles. Metade de um pão é melhor que nada nesse caso.

    
por 05.03.2015 / 20:27