Google App Engine Java是否可以支持TLS> 1.0

Question

我們在Google App Engine上有一個Java應用程序。 我們使用Google的自定義域和SSL支持。 最近的安全審核發現，我們需要解決與SSL配置有關的兩個問題：

1）服務器端SSL / TLS端點配置為允許弱SSL / TLS密碼套件。 具體來說：具有112位塊大小的塊密碼-DES，3DES和在CBC模式下使用塊密碼（例如AES，3DES）的密碼套件。

2）服務器端SSL / TLS端點配置為允許使用TLS協議版本1.0（“ TLSv1.0”）進行連接，其中包含已知的弱點

通過查看App Engine文檔，我相信這兩者都超出了我們對App Engine環境的控制范圍。 因此，除非我們在App Engine前面放一個不同的負載平衡器或SSL終結點（例如，可能是CloudFlare或我們自己的自定義實例），否則我們無法更改它們

我的問題是，有什么方法可以控制App Engine中的SSL和TLS設置，如果沒有，是將CloudFlare（或其他代理）放在前面的最佳選擇嗎？

或者，如果可以合理地防御/解釋來自Google的這些安全漏洞，則可以使用它來捍衛Google對App Engine應用程序的當前配置。

Answer 1

我從兩位非常有用的GCE工程師那里回信，其要旨是：

“設置與提供大多數Google服務的服務器共享，從而在客戶端兼容性和現代最佳實踐之間取得了平衡”

“ [App Engine]運行我們的標准GFE配置”

“盡管我們不贊成使用，但必須在兼容性與兼容性之間取得平衡。現代瀏覽器不允許降低TLS連接的配置，因此支持TLS 1.0等較舊的協議不會對其產生影響。”

因此，基本上，對於Google來說已經足夠了，他們的安全團隊正在根據多種因素做出這些安全選擇-他們認為合適，因此將棄用舊版本。