我們在Google App Engine上有一個Java應用程序。我們使用Google的自定義域和SSL支持。最近的安全審計發現了兩個需要解決的與SSL配置有關的問題:Google App Engine Java支持TLS> 1.0
1)服務器端SSL/TLS端點配置爲允許弱SSL/TLS密碼套件。具體來說:塊大小爲112位的塊密碼 - 在CBC模式下使用塊密碼(例如AES,3DES)的DES,3DES和密碼套件。
2)服務器側SSL/TLS端點被配置爲允許使用TLS協議版本1.0(「TLSv1.0」),其包含已知的弱點
綜觀App引擎文檔連接,相信無論這些都超出了我們對App Engine環境的控制範圍。所以我們不能改變它們,除非我們在App Engine之前放置了不同的負載均衡器或SSL端點(例如CloudFlare,或者我們自己的自定義實例)
我的問題是,有沒有辦法控制SSL和TLS App Engine中的設置,如果不是,將CloudFlare(或其他代理)放在它前面是最佳選擇?或者,如果Google對這些安全弱點有合理的防禦/解釋,我可以用它來捍衛Google爲App Engine應用程序配置的當前配置。