In wurde die Konfigurationsoption hinzugefügt (). Diese boolesche Option ist standardmäßig auf OFF, dh Verbindungen eines der unterstützten Protokolle werden akzeptiert - im Einklang mit Legacy-Verhalten. Einstellung --require_secure_transport = ON bewirkt, dass der Server neue Verbindungen abzulehnen, die einen der Typen drei Verbindung nicht oben aufgeführt sind. Kunden abgelehnt aufgrund unsichere Verbindungen erhalten folgende neue Fehler:

Die Interaktion mit den Konto-Level-Anforderungen

MySQL ist seit langem TLS unterstützt erfordert für bestimmte Konten - das ist die SSL-Klausel REQUIRE in indem erreicht wird, oder CREATE USER Befehle ALTER. Die neue --require_secure_transport Option ergänzt diese Konto-Level-Anforderungen durch einen sicheren Transport auf globaler Ebene durchzusetzen. Ein wesentlicher Unterschied besteht darin, dass auf Kontoebene Beschränkungen nur von TLS-Verbindungen erfüllt werden können, während die globale Beschränkung der drei sichere Protokolle angemessen hält. Als Ergebnis benötigen einen Benutzer definiert mit SSL Verbindung zu einem Server, wo --require_secure_transport = wird ON abgelehnt werden, wenn TLS nicht verwendet wird - auch wenn der Transport eines der sicheren Protokolle drei identifiziert ist. Ebenso, wenn --require_secure_transport = aus, die Voraussetzung für TLS-Verbindung für den gleichen Benutzer nicht gelockert werden.

Schlussfolgerung

Diese neue Konfigurationsoption gibt MySQL DBAs die Möglichkeit, leichter sperren MySQL-Installationen und fordern, dass jede Verbindungen nutzen einen sicheren Transport. Zulassen Sockel oder Shared-Memory-Verbindungen ermöglicht High-Performance-same-Host-Verbindungen, während Remote-Zugriff auf Clients nutzen TLS-gesicherte Protokoll zu beschränken. In Umgebungen, in denen Konten dynamisch erstellt werden, eine globale serverseitige Option einen sicheren Transport zu verlangen, kann erheblich einfacher sein TLS Anforderungen zu verwalten als Kontoebene.