我们在 Google Cloud Run 上为客户使用自定义域。由于自定义域获得了自动分配的 SSL 证书,我们还不能为该域上传我们自己的 SSL 证书。但是,我们的客户一直在报告此处托管的所有域都使用了弱密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA。有没有办法为自定义域禁用此功能?自动检查的屏幕截图
问问题
207 次
1 回答
0
- 您无法更改 Cloud Run 的 TLS 政策来移除该密码。
- 如果您必须解决此问题,请创建 HTTP(S) 负载均衡器,创建 TLS 策略并将其分配给负载均衡器,为 Cloud Run 创建后端,将您的自定义域移动到负载均衡器。
除非您有一个需要这种控制级别的特定环境,否则我不会担心密码。在这种情况下,将 Cloud Run 服务移至 Compute Engine,您可以在其中通过 Apache 配置控制 TLS 策略的几乎所有细节。
您可以从 Cloud Run 提供的易用性中受益,也可以选择构建自己的服务来控制 TLS 政策。在我看来,Cloud Run 比通用的默认 Apache/Nginx 配置更安全。除非您了解 TLS 详细信息,否则您可以创建一个服务,该服务要么不适用于所有客户端,要么安全性更低。
于 2021-07-27T19:12:58.397 回答