¿El puerto 3306 de MySQL está encriptado y, si no, cómo puedo encriptarlo?

Estoy trabajando a través de una auditoría de seguridad para un sistema en mi trabajo y uno de los requisitos es cifrar todo el tráfico a través de redes públicas / desprotegidas. Como estamos accediendo a la base de datos MySQL (a través del puerto 3306) en uno de nuestros servidores externos desde la red de nuestra oficina, la conexión a MySQL necesita ser encriptada.

¿Ya está encriptado, y si no, cómo puedo encriptarlo?

Estoy usando herramientas y scripts que no pueden usar SSH-port-forward o VPNs ... ¿aún es posible?

No, por defecto el tráfico mysql no está encriptado. Configurar MySQL para que funcione con OpenSSL por conexión es su mejor opción. La mayoría de los archivos binarios están diseñados con soporte SSL en estos días, pero es bastante fácil verificar si su versión lo admitirá. De la documentación:

Para verificar si un servidor binario está compilado con soporte SSL, invoque con la opción --ssl. Se producirá un error si el servidor no es compatible con SSL:

shell> mysqld --ssl --help
060525 14:18:52 [ERROR] mysqld: unknown option '--ssl'

Por defecto, MySQL no cifra su comunicación cliente / servidor:

• https://dev.mysql.com/doc/refman/5.5/en/security-guidelines.html

Puede configurar MySQL para aceptar conexiones a través de SSL y exigir a los usuarios que usen SSL. Aquí está la guía para la configuración de SSL:

• https://dev.mysql.com/doc/refman/5.5/en/encrypted-connections.html

• MySQL 8

  • https://dev.mysql.com/doc/refman/8.0/en/encrypted-connections.html
  • https://dev.mysql.com/doc/refman/8.0/en/security-guidelines.html