为 Google Cloud Run 自定义域禁用弱密码套件？

Posted 2023-03-27

【中文标题】为 Google Cloud Run 自定义域禁用弱密码套件？

【英文标题】：Disable Weak Cipher suites for Google Cloud Run custom domain?

【发布时间】：2021-10-03 05:39:53

【问题描述】：

我们在 Google Cloud Run 上为客户使用自定义域。由于自定义域获得了自动分配的 SSL 证书，我们还不能为该域上传我们自己的 SSL 证书。 但是，我们的客户一直报告在此处托管的所有域中都使用了弱密码 TLS_RSA_WITH_3DES_EDE_CBC_SHA。 有没有办法为自定义域禁用此功能？Screenshot from the automated check

【参考方案1】：

您无法更改 Cloud Run 的 TLS 政策来移除该密码。 如果您必须解决此问题，请创建 HTTP(S) 负载均衡器，创建 TLS 策略并将其分配给负载均衡器，为 Cloud Run 创建后端，将您的自定义域移至负载均衡器。

除非您有需要这种级别控制的特定环境，否则我不会担心密码。在这种情况下，请将 Cloud Run 服务移至 Compute Engine，您可以在其中通过 Apache 配置控制 TLS 政策的几乎所有细节。

您可以从 Cloud Run 提供的易用性中受益，也可以选择构建自己的服务来控制 TLS 政策。在我看来，Cloud Run 比通用的默认 Apache/nginx 配置更安全。除非您了解 TLS 详细信息，否则您可以创建一个服务，该服务要么不适用于所有客户端，要么安全性更低。