Google App Engine是否支持256位SSL证书？

Question

我已使用虚拟IP(VIP)为Google App Engine项目安装了证书,如下所述:https://developers.google.com/appengine/docs/ssl

如果服务器支持,证书将使用256位加密,但目前使用的是128位加密.反正有没有让它使用256位加密？我无法在文档或其他任何地方找到任何相关信息.

Answer 1

在客户端提供可接受的密码列表之后,服务器选择使用的握手协议和对称密码; 谷歌没有提供改变其密码偏好的方法.

App Engine似乎优先选择RC4-SHA(几乎所有知道TLS 1.0的东西都可用)和RSA密钥交换.这可能是为了加速握手(非短暂的Diffie-Hellman握手速度提高2倍),最大限度地减少CPU使用,以及作为针对TLS 1.0 + CBC AES的BEAST攻击的缓解控制.

由于他们选择了RC4-SHA,你不会牺牲任何重要的安全性,尽管有趣的是他们不会使用短暂的Diffie-Hellman或ECDHE密钥交换来获得完美的前向保密,因为他们公开声明在其他属性上使用它.

Answer 2

来自App Engine团队的消息:

"我们只接受带有最小1024位的RSA密钥的证书.

证书仅用于验证身份,而SSL通道上的数据通信使用客户端和服务器之间通常支持的"最佳"对称密码进行加密.

我们的服务器支持一大堆对称密码,但我们更喜欢AES128而不是AES256.如果客户端仅支持AES256,那么我们将使用它."