サーバー証明書の共通名にインスタンスのIPアドレスが含まれていない理由の1つは、これらのIPが変更される可能性があるためです。今日のインスタンスAのIPアドレスは、Aが削除されたため、またはAがIPアドレスを不要にしたため、明日のインスタンスBのIPアドレスになる可能性があります。そのため、インスタンス名は、インスタンスをより一意に識別するものとして決定されました。
また、mysqlクライアントライブラリでは、デフォルトでホスト名の検証が無効になっています。 http://dev.mysql.com/doc/refman /5.7/en/ssl-options.html
MITM攻撃に関しては、サーバー証明書と各クライアント証明書が複数の証明書の署名に使用されることのない一意の自己署名CAによって署名されているため、MITMがCloudSQLインスタンスを攻撃することはできません。サーバーは、これらのCAの1つによって署名された証明書のみを信頼します。クライアント証明書ごとに一意のCAを使用する理由は、MySQL 5.5が証明書失効リストをサポートしておらず、CRLも処理したくないが、クライアント証明書の削除をサポートしたかったためです。
ホスト名の検証をオフにできないクライアントのSSLをサポートする方法を検討します。しかし、これについてETAを約束することはできません。
クラウドSQLチーム。