ここで説明されているように、仮想 IP (VIP) を使用して Google App Engine プロジェクトの証明書をインストールしました: https://developers.google.com/appengine/docs/ssl
サーバーが 256 ビット暗号化をサポートしている場合、証明書は 256 ビット暗号化を使用しますが、現在は 128 ビット暗号化を使用しています。代わりに 256 ビット暗号化を使用する方法はありますか? ドキュメントや他の場所でそれについて何も見つけることができませんでした。
使用されるハンドシェイク プロトコルと対称暗号は、クライアントが受け入れ可能な暗号のリストを提示した後、サーバーによって選択されます。Google は、暗号設定を変更する方法を提供していません。
App Engine は、 RSA鍵交換を使用して RC4-SHA ( TLS 1.0を知っているほとんどすべてが利用可能になる) を優先的に選択するようです。これは、ハンドシェイクを高速化し (一時的でないDiffie-Hellmanハンドシェイクは最大 2 倍高速化)、CPU 使用を最小限に抑え、 TLS 1.0 + CBC AESに対するBEAST 攻撃の緩和制御として選択された可能性があります。
RC4-SHA を選択したために重大なセキュリティを犠牲にすることはありませんが、他のプロパティでの使用に関する公式声明を考えると、完全転送秘密のために一時的な Diffie-Hellman またはECDHE鍵交換を使用していないことは興味深いことです。 .
App Engine チームからの言葉:
「最小サイズが 1024 ビットの RSA キーを使用した証明書のみを受け入れます。
SSL チャネルを介したデータ通信は、クライアントとサーバー間で一般的にサポートされている「最適な」対称暗号で暗号化されますが、証明書は身元の確認にのみ使用されます。
私たちのサーバーは多数の対称暗号をサポートしていますが、AES256 よりも AES128 を優先しています。クライアントが AES256 のみをサポートしている場合は、それを使用します。」