一个潜在的安全问题(CVE-2018-10936)已得到解决。理论上,如果未向驱动程序提供主机名验证器,则可以提供 SSL 工厂而不检查主机名。在调查此问题的过程中,进行了一些更改。
现在 ssl=true 表示 verify-full。这与 libpq 不同,libpq 默认为不进行验证。使用 ssl=true 或 verify-full,驱动程序将验证 SSL 证书并验证主机是否为证书中命名的主机。
驱动程序现在还支持 allow 和 prefer,详情请参见 https://jdbc.postgresql.ac.cn/documentation/head/ssl-client.html。