使用长期 MQTT 域 mqtt.2030.ltsapis.goog 和 TLS_RSA_xx 密码套件
Using long-term MQTT domain mqtt.2030.ltsapis.goog with TLS_RSA_xx cipher suites
根据https://cloud.google.com/iot/docs/how-tos/mqtt-bridge#downloading_mqtt_server_certificates TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,建议对 mqtt 使用 P-256。2030.ltsapis.goog
我使用的物联网模组(移远M66)仅支持以下密码套件。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
是否可以连接到 mqtt。2030.ltsapis.goog 使用上述密码套件之一?
谢谢
很遗憾,这是不可能的。
长期 MQTT 域旨在帮助长期使用 TLS 配置。因此,TLS features listed in the documentation 可被视为确保安全的“最低标准”。
您可以阅读更多关于 Google's minimum standards for TLS clients here
请注意,您可以测试以下几点:
- 必须支持 TLS 1.2。
- 服务器名称指示 (SNI) 扩展必须包含在握手中,并且必须包含正在连接的域。
- 密码套件
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 必须支持 P-256 和未压缩点。
在此linkhttps://cert-test.sandbox.google.com/
不太可能向那些较旧的密码套件添加支持,因为随着时间的推移,它可能会导致僵尸网络和其他安全问题。您还可以在定期更新的this link中验证密码套件的安全性。
建议寻找支持 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 使用 P-256 和未压缩点的密码套件的设备,这将更有可能在几年内不间断地工作。
根据https://cloud.google.com/iot/docs/how-tos/mqtt-bridge#downloading_mqtt_server_certificates TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,建议对 mqtt 使用 P-256。2030.ltsapis.goog
我使用的物联网模组(移远M66)仅支持以下密码套件。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
是否可以连接到 mqtt。2030.ltsapis.goog 使用上述密码套件之一?
谢谢
很遗憾,这是不可能的。
长期 MQTT 域旨在帮助长期使用 TLS 配置。因此,TLS features listed in the documentation 可被视为确保安全的“最低标准”。
您可以阅读更多关于 Google's minimum standards for TLS clients here
请注意,您可以测试以下几点:
- 必须支持 TLS 1.2。
- 服务器名称指示 (SNI) 扩展必须包含在握手中,并且必须包含正在连接的域。
- 密码套件
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256必须支持 P-256 和未压缩点。
在此linkhttps://cert-test.sandbox.google.com/
不太可能向那些较旧的密码套件添加支持,因为随着时间的推移,它可能会导致僵尸网络和其他安全问题。您还可以在定期更新的this link中验证密码套件的安全性。
建议寻找支持 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 使用 P-256 和未压缩点的密码套件的设备,这将更有可能在几年内不间断地工作。