我们的应用程序托管在 Google App Engine Node.js(灵活环境)上。我们目前正在接受安全检查,但未能解决 Google App Engine 支持 TLS 1.0 和 1.1 版本的问题。
有没有办法强制只使用 TLS 1.2?还有低于 128 位的分组密码?
所以我也遇到了这个问题......并发现 GCP 没有那么有帮助。如果提出支持票证,他们将在域级别进行有用的限制...这解决了安全问题...但您仍然会得到误报,需要在每次渗透测试时进行解释(GAE 共享 IP 接受其他其他域的 TLS 版本)。
一个干净的解决方案;使用 Cloudflare 作为您的 DNS。它们本质上充当中间人/Web 应用程序防火墙。除此之外(免费证书、WAF、DDOS 缓解、CDN、HTTPS 强制、HSTS 等),您可以根据需要设置最低 TLS 版本。我的现在最低为 TLS 1.2,如果浏览器接受,则支持 TLS 1.3。我基本上也只将 GAE 上的端口 80/443 连接到 cloudflare,根本没有公共访问权限,因为所有流量首先通过 cloudflare。非常整洁 - 向公众开放的零端口和一个完全运营的网站!笔测试人员只是挠头收拾行李。
哦...仅供参考 - 此级别的配置是免费的。快乐的安全测试;-)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
