使用长期 MQTT 域 mqtt.2030.ltsapis.goog 和 TLS_RSA_xx 密码套件

Using long-term MQTT domain mqtt.2030.ltsapis.goog with TLS_RSA_xx cipher suites

根据https://cloud.google.com/iot/docs/how-tos/mqtt-bridge#downloading_mqtt_server_certificates TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,建议对 mqtt 使用 P-256。2030.ltsapis.goog

我使用的物联网模组(移远M66)仅支持以下密码套件。

是否可以连接到 mqtt。2030.ltsapis.goog 使用上述密码套件之一?

谢谢

很遗憾,这是不可能的。

长期 MQTT 域旨在帮助长期使用 TLS 配置。因此,TLS features listed in the documentation 可被视为确保安全的“最低标准”。

您可以阅读更多关于 Google's minimum standards for TLS clients here

请注意,您可以测试以下几点:

  1. 必须支持 TLS 1.2。
  2. 服务器名称指示 (SNI) 扩展必须包含在握手中,并且必须包含正在连接的域。
  3. 密码套件 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 必须支持 P-256 和未压缩点。

在此linkhttps://cert-test.sandbox.google.com/

不太可能向那些较旧的密码套件添加支持,因为随着时间的推移,它可能会导致僵尸网络和其他安全问题。您还可以在定期更新的this link中验证密码套件的安全性。

建议寻找支持 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 使用 P-256 和未压缩点的密码套件的设备,这将更有可能在几年内不间断地工作。