Una de las razones para no tener la dirección IP de la instancia en el nombre común del certificado del servidor es que estas IP pueden cambiar. Cuál es la dirección IP de la instancia A hoy puede ser la dirección IP de la instancia B mañana, porque A se eliminó o A decidió que ya no quiere la dirección IP. Por lo tanto, el nombre de la instancia se decidió como una identificación más única de la instancia.
Además, las bibliotecas cliente de mysql por defecto tienen deshabilitada la verificación de nombre de host. http://dev.mysql.com/doc/refman /5.7/es/opciones-ssl.html
Con respecto a los ataques MITM, no es posible atacar una instancia de Cloud SQL porque el certificado del servidor y cada uno de los certificados del cliente están firmados por CA autofirmadas únicas que nunca se usan para firmar más de un certificado. El servidor solo confía en los certificados firmados por una de estas CA. La razón para usar CA únicas por certificado de cliente fue porque MySQL 5.5 no admitía listas de revocación de certificados, y tampoco queríamos tratar CRL, pero queríamos admitir la eliminación de certificados de cliente.
Buscaremos formas de admitir SSL para clientes que no pueden desactivar la validación de nombre de host. Pero no puedo prometer una ETA sobre esto.
Equipo de Cloud SQL.
