TLS-coderingssuites in Windows 11
Coderingssuites kunnen alleen worden onderhandeld voor TLS-versies die deze ondersteunen. De meest ondersteunde TLS-versie heeft altijd de voorkeur in de TLS-handshake.
De beschikbaarheid van coderingssuites moet op twee manieren worden beheerd:
- De standaardprioriteitsvolgorde wordt overschreven wanneer een prioriteitslijst is geconfigureerd. Coderingssuites die niet in de prioriteitslijst staan, worden niet gebruikt.
- Toegestaan wanneer de toepassing SCH_USE_STRONG_CRYPTO doorgeeft: de Microsoft Schannel-provider filtert bekende zwakke coderingssuites uit wanneer de toepassing de vlag SCH_USE_STRONG_CRYPTO gebruikt. RC4-, DES-, export- en null-coderingssuites worden uitgefilterd.
Belangrijk
HTTP/2-webservices mislukken met niet-HTTP/2 compatibele coderingssuites. Zie Aangepaste coderingssuites implementerenom ervoor te zorgen dat uw webservices werken met HTTP/2-clients en -browsers.
FIPS-naleving is complexer geworden met de toevoeging van elliptische curven, waardoor de kolom met FIPS-modus ingeschakeld in eerdere versies van deze tabel misleidend wordt. Een coderingssuite zoals TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 is bijvoorbeeld alleen FIPS-compatibel wanneer u elliptische NIST-curven gebruikt. Zie sectie 3.3.1 van Richtlijnen voor de selectie, configuratie en het gebruik van TLS-implementatiesvoor meer informatie over welke combinaties van elliptische curven en coderingssuites worden ingeschakeld in de FIPS-modus.
Voor Windows 11 zijn de volgende coderingssuites ingeschakeld en in deze prioriteitsvolgorde wordt standaard de Microsoft Schannel-provider gebruikt:
Tekenreeks voor coderingssuite | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
---|---|---|
TLS_AES_256_GCM_SHA384 | Ja | TLS 1.3 |
TLS_AES_128_GCM_SHA256 | Ja | TLS 1.3 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Nee | TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
TLS_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_RSA_WITH_NULL_SHA256 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Nee | TLS 1.2 |
TLS_RSA_WITH_NULL_SHA alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
De volgende coderingssuites worden ondersteund door de Microsoft Schannel-provider, maar niet standaard ingeschakeld:
Tekenreeks voor coderingssuite | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
---|---|---|
TLS_CHACHA20_POLY1305_SHA256 | Ja | TLS 1.3 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_RC4_128_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_RC4_128_MD5 | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_DES_CBC_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_DHE_DSS_WITH_DES_CBC_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_WITH_NULL_MD5 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
De volgende PSK-coderingssuites zijn ingeschakeld en in deze prioriteitsvolgorde worden standaard de Microsoft Schannel-provider gebruikt:
Tekenreeks voor coderingssuite | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
---|---|---|
TLS_PSK_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
TLS_PSK_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
TLS_PSK_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
TLS_PSK_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
TLS_PSK_WITH_NULL_SHA384 | Nee | TLS 1.2 |
TLS_PSK_WITH_NULL_SHA256 | Nee | TLS 1.2 |
Notitie
Er zijn standaard geen PSK-coderingssuites ingeschakeld. Toepassingen moeten PSK aanvragen met behulp van SCH_USE_PRESHAREDKEY_ONLY. Zie SCHANNEL_CREDvoor meer informatie over Schannel-vlaggen.
Als u coderingssuites wilt toevoegen, implementeert u een groepsbeleid of gebruikt u de TLS-cmdlets:
- Als u groepsbeleid wilt gebruiken, configureert u de volgorde van SSL Cipher Suite onder Computerconfiguratie > Beheersjablonen > Network > SSL-configuratie-instellingen met de prioriteitslijst voor alle coderingssuites die u wilt inschakelen.
- Zie TLS-cmdletsals u PowerShell wilt gebruiken.
Notitie
Vóór Windows 10 werden tekenreeksen van het coderingspakket toegevoegd met de elliptische curve om de curveprioriteit te bepalen. Windows 10 ondersteunt een instelling voor volgorde van elliptische curveprioriteit, zodat het elliptische curveachtervoegsel niet vereist is en wordt overschreven door de nieuwe volgorde van elliptische curveprioriteit, indien opgegeven, zodat organisaties groepsbeleid kunnen gebruiken om verschillende versies van Windows met dezelfde coderingssuites te configureren.