Existe alguma maneira de desativar pelo menos o TLS 1.0 no balanceador de carga HTTPS do GCE?

1

Estou tentando passar a varredura do Trustwave pci DSS, mas não consigo porque ela falha no "TLSv1.0 suportado" e acho que o problema está no loadbalancer do GCE HTTPS que ativa o TLSv 1.0, 1.1 e 1.2 por padrão ( link ). Eu testei minhas instâncias localmente com openssl e com cipherscan ( link ) e em qualquer um eu só consegui conexão usando TLSv1. 2 cifras. Eu tento usar as mesmas ferramentas usando o ip público do GCE HTTS Load Balancer eu posso conectar usando TLSv1, TLSv1.1, TLSv1.2.

    
por André Freitas 07.04.2016 / 16:54

2 respostas

3

Para quem tropeçar nisso; agora é possível definir uma política SSL que possa ser aplicada ao target-https-proxies criado por um balanceador de carga HTTPS do GCE.

O comando a seguir permite criar uma política que, a meu conhecimento, teria atendido ao requisito da varredura do Trustwave pci DSS mencionada na pergunta do OP.

$ gcloud beta compute ssl-policies create pci_dss_ssl_policy \
  --profile MODERN --min-tls-version 1.2

Relacione o target-https-proxies existente com:

$ gcloud beta compute target-https-proxies list

Aplique a política criada a um determinado target-https-proxies com:

$ gcloud beta compute target-https-proxies update \
  NAME_OF_HTTPS_TARGET --ssl-policy pci_dss_ssl_policy

Para referência futura, o ssl-policies é seu amigo. Por exemplo. se alguém quiser restringir ainda mais a política usando uma lista personalizada de códigos.

    
por 26.01.2018 / 20:11
2

Você pode usar os balanceadores de carga de rede GCE, para encaminhar os pacotes TCP diretamente para suas instâncias; Isso significa que seu cliente HTTPS seria handshaking diretamente com seu aplicativo e, portanto, usaria as cifras TLSv1.2. No lado negativo, você pode não ter o mesmo comportamento de balanceamento por solicitação.

Espero que isso ajude!

    
por 11.11.2016 / 22:10