我已使用虚拟IP(VIP)为Google App Engine项目安装了证书,如下所述:https://developers.google.com/appengine/docs/ssl
如果服务器支持,证书将使用256位加密,但目前使用的是128位加密。反正有没有让它使用256位加密?我无法在文档或其他任何地方找到任何相关信息。
答案 0 :(得分:6)
在客户端提供可接受密码列表之后,服务器选择使用的握手协议和对称密码;谷歌没有提供改变其密码偏好的方法。
App Engine似乎优先选择RC4-SHA(几乎任何知道TLS 1.0的东西都可用)并进行RSA密钥交换。这可能是为了加速握手(非短暂的Diffie-Hellman握手up to 2x faster),最小化CPU使用,以及作为BEAST attack对TLS 1.0 + {{3}的缓解控制}} CBC。
由于他们选择RC4-SHA,你并没有牺牲任何重要的安全性,尽管有趣的是他们不会使用短暂的Diffie-Hellman或AES密钥交换ECDHE给出他们的perfect forward secrecy关于他们的其他财产。
答案 1 :(得分:5)
来自App Engine团队的消息:
“我们只接受具有最小1024位的RSA密钥的证书。
证书仅用于验证身份,而数据 SSL通道上的通信使用“最佳”进行加密 客户端和服务器之间通常支持的对称密码。
我们的服务器支持一大堆对称密码,但我们更喜欢 AES128超过AES256。如果客户端仅支持AES256,那么我们将使用 它“。