长期MQTT域mqtt.2030.ltsapis.goog在TLS_RSA_xx密码套件中的应用

Question

根据证书的说法，TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256推荐使用P-256作为mqtt.2030.ltsapis.goog

我使用的IoT模块(Quectel M66)只支持以下密码套件。

• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_3DES_EDE_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA256

是否可以使用上述密码套件之一连接到mqtt.2030.ltsapis.goog？

谢谢

Answer 1

不幸的是，这将是不可能的。

长期MQTT域旨在帮助长期使用TLS配置。因此，文档中列出的TLS特性可以被看作是确保安全性所需的“最低标准”。

您可以阅读更多关于Google对TLS客户端的最低标准的信息。

请注意，您可以测试以下几点：

1. 必须支持TLS 1.2。
2. 握手中必须包含服务器名称指示(SNI)扩展，并且必须包含连接到的域。
3. 密码套件TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256必须支持P-256和未压缩点.

在这个链接中https://cert-test.sandbox.google.com/

这不太可能支持那些旧的密码套件，因为它可能会导致僵尸网络和其他安全问题随着时间的推移。您还可以在此链接中验证密码套件的安全性，该套件定期更新。

建议是寻找支持TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256的设备，使用P-256和密码套件的未压缩点，这将有更高的不间断工作几年的可能性。