是否所有的jdbc驱动程序都支持与数据库服务器的ssl连接,而ssl的使用仅取决于特定的数据库供应商?
JDBC规范中未强制要求对SSL / TLS的支持。因此,您不可能在每个驱动程序中都期望它。
可以从JDBC
URL推断数据库服务器上的SSL配置,但这不是确定性的。对于Oracle,如果您注意到URL包含一个连接字符串,该字符串指示使用的协议是TCPS而不是TCP,则表示使用SSL
/ TLS。如果您这样做是为了验证安全性配置,我会称呼您马虎。
仅验证客户机配置以确定数据库服务器是否接受通过SSL的连接是不明智的,特别是如果不允许非SSL连接的话。验证SSL /
TLS配置的机制因数据库而异,但是在每种情况下,都有用于配置数据库的适当安全指南。
但是,如果要进行快速测试以验证连接是否通过SS1 / TLS进行,则您只需知道SSL /
TLS安全连接是通过握手启动的。如果看不到任何内容,则说明您的驱动程序未使用SSL /
TLS。为此,您需要嗅探网络流量(请确保您具有授权这样做)。当然,建立连接池正在使用的情况将花费更长的时间,因为该池中的物理连接可能会一次又一次地被重用(没有建立新的连接)。同样,您可能还会发现nmap很有用,但我从未将它用于此目的。
