Можно ли подключиться через ssl к удаленной базе данных mysql, используя php без сертификатов или ключей?

Question

Можно ли подключиться через ssl к удаленной базе данных mysql, используя php без сертификатов или ключей?

0

Допустим, у меня есть клиент, который дает мне учетные данные db, и они хотят подключиться к db с защищенным/зашифрованным. Они также включили ssl в настройках mysql. Когда они дают мне свои кредиты db, я не хочу спрашивать их о ключах и сертификатах. Так можно ли зашифровать безопасное соединение через ssl при подключении к клиентам db без этих элементов?

обновление: так после дальнейшего возиться вокруг

$db->ssl_set(NULL, NULL,'/path_to_self_signed_cert/ca.pem',NULL,'');
$db->real_connect('hostname','username','password','dbname', 
'port'socket', MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);'

это сделало меня результатом, который я хотел, после запуска этого

$db->query("SHOW STATUS LIKE 'Ssl_cipher';");

отображает алгоритм шифрования вместо того, чтобы быть пустым

  (
   [0] => Ssl_cipher
   [Variable_name] => Ssl_cipher
   [1] => DHE-RSA-AES128-SHA
   [Value] => DHE-RSA-AES128-SHA
  )

но не знаю, почему это сработало, это самоподписанный сертификат надлежащего способа сделать это?

thicksauce 03 авг. 2018, в 20:42

Источник

3

Можете немного уточнить? Если база данных уже настроена правильно, сертификаты SSL должны быть действительными, и установить безопасное соединение должно быть так же просто, как использовать предоставленные вам учетные данные базы данных. Они не должны давать вам дополнительные ключи или сертификаты.
rickjerrity 03 авг. 2018, в 18:26
0

@rickjerrity Я думал, вам нужны какие-то сертификаты или ключи, чтобы установить безопасное зашифрованное соединение между клиентом и сервером. Есть ли php-код для проверки того, что соединение зашифровано ради здравомыслия?
thicksauce 03 авг. 2018, в 18:44
0

Я разместил ответ на ваш вопрос. Не стесняйтесь редактировать свой оригинальный вопрос или комментарий здесь / ответ, если вам нужны дополнительные разъяснения по поводу вещей.
rickjerrity 03 авг. 2018, в 18:52
0

Вам не нужны ключи, но вам нужно, чтобы php был скомпилирован с OpenSSL, чтобы php мог сделать рукопожатие.
Anthony 03 авг. 2018, в 19:02
0

Технически возможно установить рукопожатие TLS без использования сертификатов X.509, но как вы думаете, какую безопасность вы тогда получаете? Почти ничего, потому что, в отличие от интуиции, аутентификация важнее, чем конфиденциальность, а аутентификация обеспечивается использованием сертификатов X.509. В вашем случае, как клиент, вы определенно хотите проверить сертификат сервера (следовательно, вам нужен его сертификат и / или его сертификат CA), и сервер может аутентифицировать вас с помощью сертификата, который вы можете создать самостоятельно на месте.
Patrick Mevzek 03 авг. 2018, в 19:17
0

@rickjerrity клиент должен проверить сертификат сервера, если он хочет иметь достойный уровень безопасности, что чаще всего означает тщательную проверку того, на какой CA вы доверяете. Смотрите этот документ: cs.utexas.edu/~shmat/shmat_ccs12.pdf
Patrick Mevzek 03 авг. 2018, в 19:18
1

@rickjerrity Я оставил ответ на твой ответ ниже
thicksauce 03 авг. 2018, в 20:13

Показать ещё 5 комментариев

Теги:

php

mysql

database

ssl

pdo

2 ответа

Ещё вопросы

Можете немного уточнить? Если база данных уже настроена правильно, сертификаты SSL должны быть действительными, и установить безопасное соединение должно быть так же просто, как использовать предоставленные вам учетные данные базы данных. Они не должны давать вам дополнительные ключи или сертификаты.
@rickjerrity Я думал, вам нужны какие-то сертификаты или ключи, чтобы установить безопасное зашифрованное соединение между клиентом и сервером. Есть ли php-код для проверки того, что соединение зашифровано ради здравомыслия?
Я разместил ответ на ваш вопрос. Не стесняйтесь редактировать свой оригинальный вопрос или комментарий здесь / ответ, если вам нужны дополнительные разъяснения по поводу вещей.
Вам не нужны ключи, но вам нужно, чтобы php был скомпилирован с OpenSSL, чтобы php мог сделать рукопожатие.
Технически возможно установить рукопожатие TLS без использования сертификатов X.509, но как вы думаете, какую безопасность вы тогда получаете? Почти ничего, потому что, в отличие от интуиции, аутентификация важнее, чем конфиденциальность, а аутентификация обеспечивается использованием сертификатов X.509. В вашем случае, как клиент, вы определенно хотите проверить сертификат сервера (следовательно, вам нужен его сертификат и / или его сертификат CA), и сервер может аутентифицировать вас с помощью сертификата, который вы можете создать самостоятельно на месте.
@rickjerrity клиент должен проверить сертификат сервера, если он хочет иметь достойный уровень безопасности, что чаще всего означает тщательную проверку того, на какой CA вы доверяете. Смотрите этот документ: cs.utexas.edu/~shmat/shmat_ccs12.pdf
@rickjerrity Я оставил ответ на твой ответ ниже

thicksauce · Answer 1 · 2018-08-03T17-41-00.000Z

@rickjerrity я подключается к удаленному db через командную строку и проверяет состояние, запустив \s и говорит SSL: Cipher in use is DHE-RSA-AES256-SHA. Но когда я подключаюсь к одной базе данных с использованием php и используя те же учетные данные, он говорит, что шифр пуст. вот код, который я использовал для подключения к удаленному db

$db = mysqli_init();
    $db->real_connect('hostname','username','password','dbname');
    $res = $db->query("SHOW STATUS LIKE 'Ssl_cipher';");
    while ( $row = $res->fetch_array() ) {
        print_r($row);
    }
    $db->close();

и ответ

[0] => Ssl_cipher
[Variable_name] => Ssl_cipher
[1] => 
[Value] =>

rickjerrity · Answer 2 · 2018-08-03T16-48-00.000Z

Для безопасного соединения с db, кроме учетных данных db, не требуется сертификат или ключ на стороне клиента. PHP должен проверять целостность сертификата SSL при подключении. Любые другие методы PHP, способные проверять статус шифрования соединения, были бы разумными, как вы упомянули. Если вы укажете некоторые примеры кода, мы сможем оказать дальнейшую помощь.

Как упомянуто Энтони в комментарии выше, это может быть проблемой конфигурации PHP. По словам Энтони, PHP должен быть скомпилирован с OpenSSL, чтобы он действительно установил соединение TLS. Дважды проверьте, что вы можете устанавливать любые соединения TLS с любыми действующими веб-сайтами, используя PHP.