Šifrovací sady TLS ve Windows 10 v1507
Šifrovací sady je možné vyjednat pouze pro verze protokolu TLS, které je podporují. Nejvyšší podporovaná verze protokolu TLS je vždy upřednostňovaná v metodě handshake protokolu TLS. Například SSL_CK_RC4_128_WITH_MD5 lze použít pouze v případě, že klient i server nepodporují protokol TLS 1.2, 1.1 & 1.0 nebo SSL 3.0, protože se podporuje pouze s protokolem SSL 2.0.
Dostupnost šifrovacích sad by se měla řídit jedním ze dvou způsobů:
- Při konfiguraci seznamu priorit se přepíše výchozí pořadí priority. Šifrovací sady, které nejsou v seznamu priorit, nebudou použity.
- Povoleno, když aplikace projde SCH_USE_STRONG_CRYPTO: Zprostředkovatel Microsoft Schannel vyfiltruje známé slabé šifrovací sady, když aplikace používá příznak SCH_USE_STRONG_CRYPTO. Ve Windows 10 verze 1507 se odfiltrují šifrovací sady RC4.
Důležitý
Webové služby HTTP/2 nefungují s šifrovacími sadami, které nejsou kompatibilní s HTTP/2. Pokud chcete zajistit, aby webové služby fungovaly s klienty a prohlížeči HTTP/2, přečtěte si téma Jak nasadit vlastní řazení šifrovacích sad.
S dodatečným zahrnutím eliptických křivek se dodržování předpisů FIPS stalo složitějším, což činí sloupec režimu FIPS v předchozích verzích této tabulky zavádějícím. Například šifrovací sada, jako je například TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, je kompatibilní pouze se standardem FIPS při použití eliptických křivek NIST. Chcete-li zjistit, které kombinace eliptických křivek a šifrovacích sad budou povoleny v režimu FIPS, přečtěte si část 3.3.1 Pokyny pro výběr, konfiguraci a použití implementací protokolu TLS.
Pro Windows 10 verze 1507 jsou povoleny následující šifrovací sady a ve výchozím nastavení v tomto pořadí priorit pomocí zprostředkovatele Microsoft Schannel:
| Řetězec šifrovací sady | Povoleno SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 používá pouze v případech, kdy aplikace explicitně požaduje. | Ano | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA používá pouze v případech, kdy aplikace explicitně požaduje. | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 používá pouze v případech, kdy aplikace explicitně požaduje. | Ne | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 používá pouze v případech, kdy aplikace explicitně požaduje. | Ano | SSL 2.0 |
Microsoft Schannel Provider podporuje následující šifrovací sady, ale ve výchozím nastavení nejsou povolené:
| Řetězec šifrovací sady | Povoleno SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_RSA_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 Používá se pouze v případech, kdy aplikace explicitně požaduje. | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| Šifrovací protokol TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA. | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Ano | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Ne | SSL 2.0 |
Pokud chcete přidat šifrovací sady, nasaďte zásady skupiny nebo použijte rutiny TLS:
- Pokud chcete použít zásady skupiny, nakonfigurujte pořadí šifrovací sady SSL v části Konfigurace počítače > Šablony pro správu > Nastavení konfigurace > protokolu SSL se seznamem priorit pro všechny sady šifr, které chcete povolit.
- Pokud chcete použít PowerShell, viz TLS cmdlety.
Poznámka
Před Windows 10 byly řetězce šifrovací sady doplněny o eliptickou křivku, aby bylo možné určit prioritu křivky. Windows 10 podporuje nastavení priorit eliptických křivek, takže přípona eliptické křivky není nutná a je přepsána novým pořadím priorit eliptických křivek, pokud je dostupné, což umožňuje organizacím používat zásady skupiny ke konfiguraci různých verzí Windows se stejnými šifrovacími sadami.
Důležitý
Webové služby HTTP/2 nejsou kompatibilní s vlastními objednávkami šifrovacích sad TLS. Další informace naleznete v tématu Jak nasadit vlastní řazení šifrovací sady v systému Windows Server 2016.