OpenSSL, не используя каталог CA
Можно, конечно, записать приложение, чтобы сделать дешифрование/шифрование (SELECT данные, дешифруйте его, повторно зашифруйте его с новым ключом и UPDATE это въезжает задним ходом - уязвимые данные никогда не будут храниться незашифрованные таким образом), однако Вы создаете огромную сумму издержек для ежегодного ключевого вращения, которое только станет больше, когда Ваш DB растет. Существует также проблема необходимости поддержать два ключа столько, сколько она берет, чтобы сделать танец перешифрования (возможно, час теперь, возможно, несколько дней в следующем году в зависимости от Вашего темпа роста и сложности шифрования...)
Можно хотеть оценить бизнес/логику защиты позади ежегодного требования изменения и видеть, можно ли получить эквивалентную безопасность путем реализации нормальных средств управления на ключах расшифровки и требовании для изменения ключей "в случае компромисса или подозреваемого компромисса" вместо этого...
По-видимому, я просто описываю предполагаемое поведение OpenSSL s_client - https://bugs.launchpad.net/ubuntu/+source/openssl/+bug / 396818
Похоже, что эта команда была бы намного более полезной, если бы она использовала CApath по умолчанию, ну, по умолчанию (или предупреждала, что вы не используете его, как предполагает отчет об ошибке), но c'est le vie.