Šifrovací sady TLS ve Windows 8
Šifrovací sady je možné vyjednat pouze pro verze protokolu TLS, které je podporují. Nejvyšší podporovaná verze protokolu TLS je vždy upřednostňovaná v metodě handshake protokolu TLS. Například SSL_CK_RC4_128_WITH_MD5 lze použít pouze v případě, že klient i server nepodporují protokol TLS 1.2, 1.1 & 1.0 nebo SSL 3.0, protože se podporuje pouze s protokolem SSL 2.0.
Dostupnost šifrovacích sad by se měla řídit jedním ze dvou způsobů:
- Při konfiguraci seznamu priorit se přepíše výchozí pořadí priority. Šifrovací sady, které nejsou v seznamu priorit, nebudou použity.
- Povoleno, když aplikace projde SCH_USE_STRONG_CRYPTO: Zprostředkovatel Microsoft Schannel vyfiltruje známé slabé šifrovací sady, když aplikace používá příznak SCH_USE_STRONG_CRYPTO. Ve Windows 8 se odfiltrují šifrovací sady RC4.
Důležitý
Webové služby HTTP/2 selžou s šifrovacími sadami, které nejsou kompatibilní s HTTP/2. Pokud chcete zajistit, aby webové služby fungovaly s klienty a prohlížeči HTTP/2, přečtěte si téma Jak nasadit vlastní řazení šifrovacích sad.
Dodržování předpisů FIPS se stalo složitějším s přidáním eliptických křivek, což učinilo sloupec režimu FIPS v předchozích verzích této tabulky zavádějícím. Například šifrovací sada, jako je TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, je vyhovující standardu FIPS pouze při použití eliptických křivek NIST. Pokud chcete zjistit, které kombinace eliptických křivek a šifrovacích sad budou povoleny v režimu FIPS, přečtěte si část 3.3.1 Pokyny pro výběr, konfiguraci a použití implementací protokolu TLS.
Windows 7, Windows 8 a Windows Server 2012 se aktualizují službou Windows Update aktualizací 3042058, která změní pořadí priority. Další informace najdete v Poradci zabezpečení společnosti Microsoft 3042058. Následující šifrovací sady jsou povolené a ve výchozím nastavení v tomto pořadí priority zprostředkovatelEm Microsoft Schannel:
| Řetězec šifrovací sady | Povolený parametr SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ano | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 používá pouze v případech, kdy aplikace explicitně požaduje. | Ano | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA používá pouze v případech, kdy aplikace explicitně požaduje. | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 používá pouze v případech, kdy aplikace explicitně požaduje. | Ne | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 používá pouze v případech, kdy aplikace explicitně požaduje. | Ano | SSL 2.0 |
Microsoft Schannel Provider podporuje následující šifrovací sady, ale ve výchozím nastavení nejsou povolené:
| Řetězec šifrovací sady | Povoleno SCH_USE_STRONG_CRYPTO | Verze protokolu TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Ano | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Ano | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Ano | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Ne | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Ano | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Ano | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Ne | SSL 2.0 |
Chcete-li přidat šifrovací sady, použijte nastavení zásad skupiny pro objednání šifrovacích sad SSL v části Konfigurace počítače > Šablony pro správu > Síť > Nastavení konfigurace SSL ke konfiguraci seznamu priorit pro všechny šifrovací sady, které chcete povolit.