我正在尝试通过 Trustwave pci DSS 扫描,但无法通过,因为它在“支持 TLSv1.0”时失败,我认为问题出在 GCE HTTPS 负载均衡器上,它默认启用 TLSv 1.0、1.1 和 1.2(https://cloud.google.com/compute/docs/load-balancing/http/#tls_support我已经使用 openssl 和 cipherscan 在本地测试了我的实例(https://github.com/jvehent/cipherscan) 并且无论在哪种情况下,我都只能使用 TLSv1.2 密码建立连接。我尝试使用相同的工具,使用 GCE HTTS 负载均衡器的公共 IP,我可以使用 TLSv1、TLSv1.1、TLSv1.2 进行连接。
答案1
对于任何遇到此问题的人来说,现在可以定义一个可应用于target-https-proxiesGCE HTTPS 负载均衡器创建的 SSL 策略。
以下命令允许创建一个策略,据我所知,该策略可以满足 OP 问题中提到的 Trustwave pci DSS 扫描的要求。
$ gcloud beta compute ssl-policies create pci_dss_ssl_policy \
--profile MODERN --min-tls-version 1.2
列出现有target-https-proxies的:
$ gcloud beta compute target-https-proxies list
将创建的策略应用到给定的target-https-proxies:
$ gcloud beta compute target-https-proxies update \
NAME_OF_HTTPS_TARGET --ssl-policy pci_dss_ssl_policy
供进一步参考,SSL 策略是你的朋友。例如,如果想使用自定义密码列表进一步限制策略。
答案2
您可能能够使用 GCE 网络负载均衡器将 TCP 数据包直接转发到您的实例;这意味着您的 HTTPS 客户端将直接与您的应用程序握手,因此将使用 TLSv1.2 密码。缺点是,您可能无法获得相同的每个请求平衡行为。
希望这可以帮助!