A TLS titkosítási csomagok a Windows 8.1-ben
A titkosítási csomagok csak az őket támogató TLS-verziók esetében tárgyalhatók meg. A TLS-kézfogás mindig a legmagasabb támogatott TLS-verziót részesíti előnyben. A SSL_CK_RC4_128_WITH_MD5 például csak akkor használható, ha az ügyfél és a kiszolgáló sem támogatja a TLS 1.2, az 1.1 & 1.0 vagy az SSL 3.0 protokollt, mivel az csak SSL 2.0-val támogatott.
A rejtjelcsomagok rendelkezésre állását kétféleképpen kell szabályozni:
- Az alapértelmezett prioritási sorrend felül lesz bírálva egy prioritási lista konfigurálásakor. A rendszer nem használja a prioritási listán nem szereplő titkosítási csomagokat.
- Engedélyezett, amikor az alkalmazás átadja a SCH_USE_STRONG_CRYPTO: A Microsoft Schannel-szolgáltató kiszűri az ismert gyenge titkosítási csomagokat, amikor az alkalmazás a SCH_USE_STRONG_CRYPTO jelzőt használja. A Windows 8.1-ben az RC4-titkosítási csomagok kiszűrhetők.
Fontos
A HTTP/2 webszolgáltatások nem HTTP/2-kompatibilis titkosítási csomagokkal meghiúsulnak. Ha meg szeretné győződni arról, hogy a webszolgáltatások HTTP/2-ügyfelekkel és böngészőkkel működnek, tekintse meg Egyéni titkosítási csomag üzembe helyezésénekcímű témakört.
A FIPS-megfelelőség összetettebbé vált az elliptikus görbék hozzáadásával, így a korábbi verziókban a FIPS mód engedélyezését jelző oszlop félrevezető lett. Egy titkosítási csomag, például a TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 például csak FIPS-kompatibilis NIST-háromliptikus görbék használatakor. Annak kiderítéséhez, hogy a háromliptikus görbék és a titkosítási csomagok mely kombinációi lesznek engedélyezve FIPS módban, tekintse meg TLS-implementációk kiválasztására, konfigurálására és használatára vonatkozó irányelvek3.3.1 szakaszát.
A Windows 8.1-et és a Windows Server 2012 R2-t a Windows Update az 2919355 frissítésével frissíti, amely hozzáadja az új titkosítási csomagokat és módosítja a prioritási sorrendet. A Microsoft Schannel-szolgáltató alapértelmezés szerint engedélyezi a következő titkosítási csomagokat, és ebben a prioritási sorrendben:
| Titkosítási csomag karakterlánca | Az SCH_USE_STRONG_CRYPTO engedélyezett | TLS/SSL protokollverziók |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Igen | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Igen | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Igen | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Igen | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Igen | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Igen | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Igen | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Igen | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Igen | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Igen | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Igen | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Igen | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Nem | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Nem | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Csak akkor használatos, ha az alkalmazás kifejezetten kéri. | Igen | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Csak akkor használatos, ha az alkalmazás kifejezetten kéri. | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Csak akkor használatos, ha az alkalmazás kifejezetten kéri. | Nem | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Csak akkor használatos, ha az alkalmazás kifejezetten kéri. | Igen | SSL 2.0 |
A Microsoft Schannel-szolgáltató a következő titkosítási csomagokat támogatja, de alapértelmezés szerint nem engedélyezi:
| Titkosítási csomag karakterlánca | Az SCH_USE_STRONG_CRYPTO engedélyezett | TLS/SSL Protocol-verziók |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Igen | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Igen | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Igen | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Igen | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Nem | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Nem | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Igen | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Igen | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Nem | SSL 2.0 |
Titkosítási csomagok hozzáadásához használja az SSL Titkosítási csomag rendelése csoportszabályzat-beállítását a Számítógép konfigurációja > Felügyeleti sablonok > Hálózati > SSL-konfigurációs beállítások területen az összes engedélyezni kívánt titkosítási csomag prioritási listájának konfigurálásához.