Um dos motivos para não ter o endereço IP da instância no nome comum do certificado do servidor é porque esses IPs podem ser alterados. Qual é o endereço IP da instância A hoje pode ser o endereço IP da instância B amanhã, porque A foi deletada ou A decidiu que não quer mais o endereço IP. Assim, o nome da instância foi decidido como sendo uma identificação mais exclusiva da instância.
Além disso, as bibliotecas do cliente mysql por padrão têm a verificação do nome do host desabilitada. http://dev.mysql.com/doc/refman /5.7/en/ssl-options.html
Com relação aos ataques MITM, não é possível atacar uma instância do Cloud SQL porque o certificado do servidor e cada um dos certificados do cliente são assinados por CAs autoassinadas exclusivas que nunca são usadas para assinar mais de um certificado. O servidor confia apenas em certificados assinados por uma dessas CAs. A razão para usar CAs exclusivas por certificado de cliente era porque o MySQL 5.5 não suportava listas de revogação de certificado e também não queríamos lidar com CRLs, mas queríamos oferecer suporte à exclusão de certificados de cliente.
Analisaremos maneiras de oferecer suporte a SSL para clientes que não podem desativar a validação do nome do host. Mas não posso prometer um ETA sobre isso.
Equipe do Cloud SQL.