我已经使用虚拟 IP (VIP) 为 Google App Engine 项目安装了证书,如下所述:https ://developers.google.com/appengine/docs/ssl
如果服务器支持,证书将使用 256 位加密,但当前使用的是 128 位加密。有没有办法让它使用 256 位加密代替?我无法在文档或其他任何地方找到任何关于它的信息。
问问题
916 次
2 回答
6
在客户端提供可接受的密码列表后,服务器选择使用的握手协议和对称密码;Google 不提供更改密码偏好的方法。
App Engine 似乎优先选择带有RSA密钥交换的RC4-SHA(几乎所有知道TLS 1.0 都可用的东西) 。选择这可能是为了加快握手速度(非临时Diffie-Hellman握手速度提高了 2 倍),最大限度地减少 CPU 使用,并作为针对 TLS 1.0 + CBC AES的BEAST 攻击的缓解控制。
由于他们选择了 RC4-SHA,您并没有牺牲任何重要的安全性,尽管有趣的是,他们不使用临时 Diffie-Hellman 或ECDHE密钥交换来实现完美的前向保密,因为他们公开声明在他们的其他属性上使用它.
于 2012-10-16T03:07:09.543 回答
5
App Engine 团队的话:
“我们只接受带有最小大小为 1024 位的 RSA 密钥的证书。
该证书仅用于验证身份,而 SSL 通道上的数据通信使用客户端和服务器之间通常支持的“最佳”对称密码进行加密。
我们的服务器支持一大堆对称密码,但我们更喜欢 AES128 而不是 AES256。如果客户端只支持 AES256,那么我们将使用它。”
于 2012-10-16T05:13:42.930 回答