Google App Engine Java是否可以支持TLS> 1.0

Question

我们在Google App Engine上有一个Java应用程序。 我们使用Google的自定义域和SSL支持。 最近的安全审核发现，我们需要解决与SSL配置有关的两个问题：

1）服务器端SSL / TLS端点配置为允许弱SSL / TLS密码套件。 具体来说：具有112位块大小的块密码-DES，3DES和在CBC模式下使用块密码（例如AES，3DES）的密码套件。

2）服务器端SSL / TLS端点配置为允许使用TLS协议版本1.0（“ TLSv1.0”）进行连接，其中包含已知的弱点

通过查看App Engine文档，我相信这两者都超出了我们对App Engine环境的控制范围。 因此，除非我们在App Engine前面放一个不同的负载平衡器或SSL终结点（例如，可能是CloudFlare或我们自己的自定义实例），否则我们无法更改它们

我的问题是，有什么方法可以控制App Engine中的SSL和TLS设置，如果没有，是将CloudFlare（或其他代理）放在前面的最佳选择吗？

或者，如果可以合理地防御/解释来自Google的这些安全漏洞，则可以使用它来捍卫Google对App Engine应用程序的当前配置。

Answer 1

我从两位非常有用的GCE工程师那里回信，其要旨是：

“设置与提供大多数Google服务的服务器共享，从而在客户端兼容性和现代最佳实践之间取得了平衡”

“ [App Engine]运行我们的标准GFE配置”

“尽管我们不赞成使用，但必须在兼容性与兼容性之间取得平衡。现代浏览器不允许降低TLS连接的配置，因此支持TLS 1.0等较旧的协议不会对其产生影响。”

因此，基本上，对于Google来说已经足够了，他们的安全团队正在根据多种因素做出这些安全选择-他们认为合适，因此将弃用旧版本。