TLS-coderingssuites in Windows 10 v1507
Coderingssuites kunnen alleen worden onderhandeld voor TLS-versies die deze ondersteunen. De meest ondersteunde TLS-versie heeft altijd de voorkeur in de TLS-handshake. SSL_CK_RC4_128_WITH_MD5 kan bijvoorbeeld alleen worden gebruikt wanneer zowel de client als de server TLS 1.2, 1.1 & 1.0 of SSL 3.0 niet ondersteunen, omdat deze alleen wordt ondersteund met SSL 2.0.
De beschikbaarheid van coderingssuites moet op twee manieren worden beheerd:
- De standaardprioriteitsvolgorde wordt overschreven wanneer een prioriteitslijst is geconfigureerd. Coderingssuites die niet in de prioriteitslijst staan, worden niet gebruikt.
- Toegestaan wanneer de toepassing SCH_USE_STRONG_CRYPTO gebruikt: de Microsoft Schannel-provider filtert bekende zwakke coderingssuites uit wanneer de toepassing de vlag SCH_USE_STRONG_CRYPTO gebruikt. In Windows 10 versie 1507 worden RC4 coderingssuites uitgefilterd.
Belangrijk
HTTP/2-webservices mislukken met niet-HTTP/2 compatibele coderingssuites. Raadpleeg Hoe u aangepaste coderingsreeksvolgorde implementeertom ervoor te zorgen dat uw webservices compatibel zijn met HTTP/2-clients en -browsers.
FIPS-naleving is complexer geworden met de toevoeging van elliptische curven, waardoor de kolom met FIPS-modus ingeschakeld in eerdere versies van deze tabel misleidend wordt. Een coderingssuite zoals TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 is bijvoorbeeld alleen FIPS-compatibel wanneer u elliptische NIST-curven gebruikt. Zie sectie 3.3.1 van Richtlijnen voor de selectie, configuratie en het gebruik van TLS-implementatiesvoor meer informatie over welke combinaties van elliptische curven en coderingssuites worden ingeschakeld in de FIPS-modus.
Voor Windows 10 versie 1507 zijn de volgende coderingssuites ingeschakeld en in deze prioriteitsvolgorde wordt standaard gebruikgemaakt van de Microsoft Schannel-provider:
| Tekenreeks voor versleutelingssuite | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Nee | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | SSL 2.0 |
De volgende coderingssuites worden ondersteund door de Microsoft Schannel-provider, maar niet standaard ingeschakeld:
| Versleutelingssuite tekenreeks | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
|---|---|---|
| TLS_RSA_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Ja | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Nee | SSL 2.0 |
Als u coderingssuites wilt toevoegen, implementeert u een groepsbeleid of gebruikt u de TLS-cmdlets:
- Als u groepsbeleid wilt gebruiken, configureert u de volgorde van SSL Cipher Suite onder Computerconfiguratie > Beheersjablonen > Network > SSL-configuratie-instellingen met de prioriteitslijst voor alle coderingssuites die u wilt inschakelen.
- Zie TLS-cmdletsals u PowerShell wilt gebruiken.
Notitie
Vóór Windows 10 werden ciphersuite-strings voorzien van de elliptische curve om de curveprioriteit te bepalen. Windows 10 ondersteunt een instelling voor de prioriteitsvolgorde van elliptische curves, waardoor het achtervoegsel voor elliptische curves niet nodig is en wordt overschreven door de nieuwe prioriteitsvolgorde van elliptische curves, indien aanwezig, zodat organisaties groepsbeleid kunnen gebruiken om verschillende versies van Windows met dezelfde coderingssuites te configureren.
Belangrijk
HTTP/2-webservices zijn niet compatibel met aangepaste TLS-coderingssuiteorders. Zie Aangepaste coderingssuitevolgorde implementeren in Windows Server 2016voor meer informatie.