如何解决将长期 MQTT 域 mqtt.2030.ltsapis.goog 与 TLS_RSA_xx 密码套件一起使用
根据 https://cloud.google.com/iot/docs/how-tos/mqtt-bridge#downloading_mqtt_server_certificates TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 建议 mqtt.2030.ltsapis.goog 使用 P-256
我使用的 IoT 模块(移远通信 M66)仅支持以下密码套件。
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
是否可以使用上述密码套件之一连接到 mqtt.2030.ltsapis.goog?
谢谢
解决方法
不幸的是,这是不可能的。
长期 MQTT 域旨在帮助长期使用 TLS 配置。因此,TLS features listed in the documentation 可以被视为确保安全的“最低标准”。
您可以阅读有关 Google's minimum standards for TLS clients here
的更多信息请注意,您可以测试以下几点:
- 必须支持 TLS 1.2。
- 握手中必须包含服务器名称指示 (SNI) 扩展名,并且必须包含要连接的域。
- 密码套件
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256必须支持 P-256 和未压缩点。
在此链接中https://cert-test.sandbox.google.com/
不太可能为那些较旧的密码套件添加支持,因为随着时间的推移,它可能会导致僵尸网络和其他安全问题。您还可以在定期更新的 this link 中验证密码套件的安全性。
建议寻找使用 P-256 和未压缩点的密码套件支持 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 的设备,这样更有可能在几年内不间断工作。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
