Возник вопрос, господа. Нужно прятать данные, которыми обмениваются сервер с клиентом, в SSL. Ставлю на сервер (Linux) OpenSSL, потом postgresql (с --with-openssl). Собираю на клиентской машине (винда) интерфейсы OpenSSL'я и postgresql'я (с USE_SSL=1). В конфиге сервера разрешаю использование ssl, создаю server.key (приватный ключ) - 4096-битный RSA. Потом генерирую из него self-signed сертификат server.crt. В доке к pgsql написано, что это не есть хорошо, и сертификат должна подписать сторонняя организация. Но не в этом суть. В pg_hba.conf только одна строка - с hostssl.
В клиенте при вызове PQconnect указываю sslmode=require, то есть соединение должно или использовать ssl или вообще не иметь места быть. Все коннектится и нормально работает.
В связи с этим вопрос - какой толк от SSL (кроме исключения сниффинга), если клиент не проверяет подлинность сервера? По идее, "злонамеренный пользователь" может запустить свой сервер pgsql, взять IP моего сервера, и клиент даже не догадается о подмене.
Что я где неправильно делаю (или хотя бы в какую сторону копать)?..