Šifrovací sady TLS ve Windows 10 v1703
Šifrovací sady je možné vyjednat pouze pro verze protokolu TLS, které je podporují. Nejvyšší podporovaná verze protokolu TLS je vždy upřednostňovaná v metodě handshake protokolu TLS.
Dostupnost šifrovacích sad by se měla řídit jedním ze dvou způsobů:
- Při konfiguraci seznamu priorit se přepíše výchozí pořadí priority. Šifrovací sady, které nejsou v seznamu priorit, nebudou použity.
- Povoleno, když aplikace předá SCH_USE_STRONG_CRYPTO: Zprostředkovatel Microsoft Schannel vyfiltruje známé slabé šifrovací sady, když aplikace používá příznak SCH_USE_STRONG_CRYPTO. Ve Windows 10 verze 1703 se kromě rc4, DES, exportu a šifrovacích sad null odfiltrují.
Důležitý
Webové služby HTTP/2 selžou s nekompatibilními šifrovacími sadami HTTP/2. Pokud chcete zajistit, aby webové služby fungovaly s klienty a prohlížeči HTTP/2, přečtěte si téma Jak nasadit vlastní řazení šifrovacích sad.
Dodržování předpisů FIPS se s přidáním eliptických křivek stalo složitějším, což způsobuje, že je sloupec označující aktivaci režimu FIPS v předchozích verzích této tabulky zavádějící. Například šifrovací sada, jako je TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, je kompatibilní se standardem FIPS pouze při použití eliptických křivek NIST. Zjistěte, které kombinace eliptických křivek a šifrovacích sad budou povoleny v režimu FIPS, v oddílu 3.3.1 Pokyny pro výběr, konfiguraci a použití implementací protokolu TLS.
Pro Windows 10 verze 1703 jsou povoleny následující šifrovací sady a ve výchozím nastavení v tomto pořadí priorit pomocí zprostředkovatele Microsoft Schannel:
| Řetězec šifrovací sady | Povoleno podle SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_RC4_128_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 používá pouze v případech, kdy aplikace explicitně požaduje. | Ne | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA používá pouze v případech, kdy aplikace explicitně požaduje. | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
Microsoft Schannel Provider podporuje následující šifrovací sady, ale ve výchozím nastavení nejsou povolené:
| Řetězec šifrovací sady | Povoleno SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 Používá se pouze v případech, kdy aplikace explicitně požaduje. | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
Následující šifrovací sady PSK jsou ve výchozím nastavení povoleny a uspořádány v tomto pořadí priority pomocí poskytovatele Microsoft Schannel:
| Řetězec šifrovací sady | Povoleno SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_PSK_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_PSK_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_PSK_WITH_AES_256_CBC_SHA384 | Ano | TLS 1.2 |
| TLS_PSK_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_PSK_WITH_NULL_SHA384 | Ne | TLS 1.2 |
| TLS_PSK_WITH_NULL_SHA256 | Ne | TLS 1.2 |
Poznámka
Ve výchozím nastavení nejsou povoleny žádné šifrovací sady PSK. Aplikace potřebují požádat PSK pomocí SCH_USE_PRESHAREDKEY_ONLY. Další informace o příznacích Schannel naleznete v tématu SCHANNEL_CRED.
Pokud chcete přidat šifrovací sady, nasaďte zásady skupiny nebo použijte rutiny TLS:
- Pokud chcete použít zásady skupiny, nakonfigurujte pořadí šifrovací sady SSL v části Konfigurace počítače > Šablony pro správu > Nastavení konfigurace > protokolu SSL se seznamem priorit pro všechny sady šifr, které chcete povolit.
- Pokud chcete použít PowerShell, přečtěte si rutiny TLS.
Poznámka
Před Windows 10 byly řetězce šifrovací sady doplňovány s použitím eliptické křivky k určení priority křivky. Windows 10 podporuje nastavení pořadí priorit eliptické křivky, takže se přípona eliptické křivky nevyžaduje a je přepsána novým pořadím priorit eliptické křivky, když je to uvedeno, aby organizace mohly pomocí zásad skupin konfigurovat různé verze Windows se stejnými šifrovacími sadami.