Windows 8.1'de TLS Şifreleme Paketleri
Şifre paketleri yalnızca bunları destekleyen TLS sürümleri için anlaşılabilir. Desteklenen en yüksek TLS sürümü, TLS el sıkışmasında her zaman tercih edilir. Örneğin, SSL_CK_RC4_128_WITH_MD5 yalnızca hem istemci hem de sunucu TLS 1.2, 1.1 & 1.0 veya SSL 3.0'ı desteklemediğinde kullanılabilir çünkü yalnızca SSL 2.0 ile desteklenir.
Şifreleme paketlerinin kullanılabilirliği iki yoldan biriyle denetlenmelidir:
- Bir öncelik listesi yapılandırıldığında varsayılan öncelik sırası geçersiz kılındı. Öncelik listesinde olmayan şifre paketleri kullanılmaz.
- Uygulama SCH_USE_STRONG_CRYPTO geçtiğinde izin verilir: Uygulama SCH_USE_STRONG_CRYPTO bayrağını kullandığında Microsoft Schannel sağlayıcısı bilinen zayıf şifreleme paketlerini filtreler. Windows 8.1'de RC4 şifreleme paketleri filtrelenir.
Önemli
HTTP/2 web hizmetleri HTTP/2 uyumlu olmayan şifreleme paketleriyle başarısız olur. Web hizmetlerinizin HTTP/2 istemcileri ve tarayıcılarıyla çalıştığından emin olmak için bkz. Özel şifreleme paketi sıralamadağıtma.
FIPS uyumluluğu, üç nokta eğrilerinin eklenmesiyle daha karmaşık hale geldi ve bu tablonun önceki sürümlerinde FIPS modu etkin sütunu yanıltıcı hale geldi. Örneğin, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 gibi bir şifreleme paketi, NIST üç nokta eğrileri kullanılırken yalnızca FIPS uyumlu olur. FIPS modunda hangi üç nokta eğrilerinin ve şifre paketlerinin etkinleştirileceğini öğrenmek için, TLS Uygulamalarının Seçimi, Yapılandırması ve Kullanımına yönelik Yönergeler'in 3.3.1 bölümüne bakın.
Windows 8.1 ve Windows Server 2012 R2, yeni şifreleme paketlerini ekleyen ve öncelik sırasını değiştiren güncelleştirme 2919355 Windows Update tarafından güncelleştirilir. Aşağıdaki şifreleme paketleri, Microsoft Schannel Sağlayıcısı tarafından varsayılan olarak bu öncelik sırasına göre etkinleştirilir:
| Şifre paketi dizesi | SCH_USE_STRONG_CRYPTO tarafından izin verilir | TLS/SSL Protokolü Sürümleri |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Evet | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Evet | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Evet | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Evet | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Evet | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Evet | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Evet | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Evet | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Evet | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Evet | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Evet | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Evet | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Hayır | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Hayır | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Yalnızca uygulama açıkça istediğinde kullanılır. | Evet | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Yalnızca uygulama açıkça istediğinde kullanılır. | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Yalnızca uygulama açıkça istediğinde kullanılır. | Hayır | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Yalnızca uygulama açıkça istediğinde kullanılır. | Evet | SSL 2.0 |
Aşağıdaki şifreleme paketleri Microsoft Schannel Sağlayıcısı tarafından desteklenir, ancak varsayılan olarak etkinleştirilmez:
| Şifre paketi dizesi | SCH_USE_STRONG_CRYPTO tarafından izin verilir | TLS/SSL Protokolü sürümleri |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Evet | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Evet | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Evet | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Evet | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Hayır | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Hayır | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Evet | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Evet | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Hayır | SSL 2.0 |
Şifreleme paketleri eklemek için, etkinleştirmek istediğiniz tüm şifreleme paketleri için bir öncelik listesi yapılandırmak üzere Ağ > SSL Yapılandırma Ayarları > Bilgisayar Yapılandırması > Yönetim Şablonları altında SSL Şifreleme Paketi Sırası grup ilkesi ayarını kullanın.