Google App Engine Java是否支持TLS> 1.0
我们在Google App Engine上有一个Java应用程序。 我们使用Google的自定义域和SSL支持。 最近的安全审计发现了我们需要解决的与SSL配置相关的两个问题:
1)服务器端SSL / TLS端点配置为允许弱SSL / TLS密码套件。 具体来说:块大小为112位的块密码 – 在CBC模式下使用分组密码(例如AES,3DES)的DES,3DES和密码套件。
2)服务器端SSL / TLS端点配置为允许使用TLS协议版本1.0(“TLSv1.0”)的连接,其中包含已知的弱点
看看App Engine文档,我相信这些都超出了我们对App Engine环境的控制范围。 因此我们不能更改它们,除非我们在App Engine前面放置一个不同的负载均衡器或SSL终止点(例如,可能是CloudFlare,或者我们自己的自定义实例)
我的问题是,有没有办法控制App Engine中的SSL和TLS设置,如果没有,是将CloudFlare(或其他代理)置于其前面的最佳选择?
或者,如果Google对这些安全漏洞有合理的辩护/解释,我可以使用它来捍卫Google对App Engine应用程序的当前配置。
我从两位非常有帮助的GCE工程师那里听到了回复,其中的要点是:
“这些设置与服务大多数Google服务的服务器共享,平衡了客户端与现代最佳实践的兼容性”
“[App Engine]运行我们的标准GFE配置”
“虽然我们不赞成,但我们必须平衡兼容性。现代浏览器不允许降级TLS连接的配置,因此支持TLS 1.0等旧协议不会影响它们。”
所以基本上,这对Google来说已经足够了,他们的安全团队正在根据许多因素做出这些安全选择 – 因为他们认为适合他们会弃用旧版本。