Riassunto: Se si ha uno o più server database MySQL/MariaDB remoti registrati in Plesk, consigliamo di proteggere le connessioni tra essi e Plesk tramite un certificato SSL/TLS. Questo impedirà che informazioni sensibili vengano intercettate da terze parti.

In questa sezione impareremo come proteggere le connessioni ai server database MySQL/MariaDB con i certificati SSL/TLS.

Panoramica

È possibile utilizzare le istruzioni presenti in questa sezione per proteggere le connessioni ai server database MySQL e ai derivati MySQL, come MariaDB o Percona.

Se Plesk utilizza solo server database locali, non c’è bisogno di proteggere le connessioni a essi.

È possibile proteggere le connessioni ai server database utilizzando un certificato SSL/TLS autofirmato, o un certificato gratuito o a pagamento emesso da un’autorità certificante. Un certificato autofirmato garantisce che le connessioni tra Plesk e i server database siano crittografati, e questo dovrebbe essere sufficiente nella maggioranza dei casi. Tuttavia, un certificato emesso da un’autorità certificante, gratuito o a pagamento, può servire anche a verificare l’identità di un server database, aiutando a proteggersi da attacchi man-in-the-middle.

Proteggere le connessioni ai server database MySQL/MariaDB remoti

La procedura di protezione delle connessioni ai server database remoti consiste in due fasi. Prima, bisogna configurare ogni server database remoto affinché utilizzi delle connessioni crittografate. Poi, bisogna abilitare le connessioni crittografate ai server database in Plesk.

Per configurare i server database affinché utilizzino connessioni crittografate, seguire le istruzioni presenti nella documentazione del relativo fornitore:

Quando si seguono le istruzioni suindicate, assicurarsi di aggiungere la seguente riga opzionale al file my.cnf:

require_secure_transport=ON

Essa costringe i server database a utilizzare connessioni crittografate. L’alternativa è aggiornare ogni singolo utente del database usando l’istruzione ALTER USER in questo modo:

alter user 'admin'@'localhost' require ssl;

Nell’ultimo caso, saranno crittografate solo le connessioni per gli utenti del database aggiornati.

Una volta configurati tutti i server database affinché utilizzino connessioni crittografate, bisogna abilitare le connessioni crittografate ai server database in Plesk. Volendo, è possibile anche configurare Plesk affinché verifichi le identità dei server database prima di connettersi. Questo è necessario per proteggersi dagli attacchi man-in-the-middle.

Abilitare le connessioni crittografate ai server database

  1. Aprire il file «panel.ini» per la modifica.

  2. Aggiungere le seguenti righe al file per abilitare le connessioni crittografate ai server database:

    [database]
tls.enable = true;

  3. (Opzionale) Aggiungere le seguenti righe sotto quelle appena aggiunte per verificare le identità dei server database prima della connessione:

    tls.verifyServerCert = true;
tls.sslCA = <path to the .pem file containing the relevant X.509 certificate(s)>;

    I certificati X.509 possono essere generati tramite l’utility openssl (se uno o più server database sono protetti dai certificati autofirmati) o richiesti alla relativa autorità certificante (se uno o più server database sono protetti con certificati emessi da un’autorità certificante).

    Nota: Quando Plesk è configurato per verificare le identità dei server database prima della connessione, gli hostname dei server database devono corrispondere a quelli specificati nei certificati SSL/TLS con i quali sono protetti. Plesk rifiuterà di connettersi a un server database il cui hostname non corrisponde al nome specificato nel certificato SSL/TLS col quale è protetto.

Le connessioni tra server database MySQL/MariaDB e Plesk sono protette e non possono essere intercettate da terze parti.