Google App Engine Java 能否支持 TLS>1.0

Question

我们在 Google App Engine 上有一个 Java 应用程序。我们使用 Google 的自定义域和 SSL 支持。最近的安全审计发现了两个与 SSL 配置相关的问题需要解决：

1) 服务器端 SSL/TLS 端点配置为允许弱 SSL/TLS 密码套件。具体来说：块大小为 112 位的块密码 - DES、3DES 和在 CBC 模式下使用块密码（例如 AES、3DES）的密码套件。

2) 服务器端 SSL/TLS 端点配置为允许使用包含已知弱点的 TLS 协议版本 1.0（“TLSv1.0”）进行连接

查看 App Engine 文档，我相信这两者都超出了我们对 App Engine 环境的控制范围。因此，除非我们在 App Engine 前面放置不同的负载均衡器或 SSL 终止点（例如 CloudFlare，或我们自己的自定义实例），否则我们无法更改它们

我的问题是，有什么方法可以控制 App Engine 中的 SSL 和 TLS 设置，如果没有，将 CloudFlare（或其他代理）放在它前面是最好的选择吗？

或者，如果 Google 对这些安全弱点有合理的辩护/解释，我可以用它来保护 Google 对 App Engine 应用程序的当前配置。

Answer 1

我收到了两位非常乐于助人的 GCE 工程师的回复，其要点是：

“这些设置与为大多数 Google 服务提供服务的服务器共享，从而在客户端兼容性与现代最佳实践之间取得平衡”

“[App Engine] 运行我们的标准 GFE 配置”

“虽然我们尽可能弃用，但我们必须平衡它与兼容性。现代浏览器不允许降级 TLS 连接的配置，因此支持 TLS 1.0 等旧协议不会影响它们。 "

所以基本上，它对 Google 来说已经足够好了，他们的安全团队正在根据许多因素做出这些安全选择 - 如果他们认为合适，他们会弃用旧版本。