TLS-coderingssuites in Windows 8
Coderingssuites kunnen alleen worden onderhandeld voor TLS-versies die deze ondersteunen. De meest ondersteunde TLS-versie heeft altijd de voorkeur in de TLS-handshake. SSL_CK_RC4_128_WITH_MD5 kan bijvoorbeeld alleen worden gebruikt wanneer zowel de client als de server TLS 1.2, 1.1 & 1.0 of SSL 3.0 niet ondersteunen, omdat deze alleen wordt ondersteund met SSL 2.0.
De beschikbaarheid van coderingssuites moet op twee manieren worden beheerd:
- De standaardprioriteitsvolgorde wordt overschreven wanneer een prioriteitslijst is geconfigureerd. Coderingssuites die niet in de prioriteitslijst staan, worden niet gebruikt.
- Toegestaan wanneer de toepassing de SCH_USE_STRONG_CRYPTO-vlag heeft gepasseerd: de Microsoft Schannel-provider filtert bekende zwakke cijferreeksen uit wanneer de toepassing gebruikmaakt van de SCH_USE_STRONG_CRYPTO-vlag. In Windows 8 worden RC4 coderingssuites uitgefilterd.
Belangrijk
HTTP/2-webservices mislukken met niet-HTTP/2 compatibele coderingssuites. Om ervoor te zorgen dat uw webservices werken met HTTP/2-clients en -browsers, zie Hoe aangepaste coderingssuiteschikking te implementeren.
FIPS-naleving is complexer geworden met de toevoeging van elliptische curven, waardoor de kolom met FIPS-modus ingeschakeld in eerdere versies van deze tabel misleidend wordt. Een coderingssuite zoals TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 is bijvoorbeeld alleen FIPS-compatibel wanneer u elliptische NIST-curven gebruikt. Zie sectie 3.3.1 van Richtlijnen voor de selectie, configuratie en het gebruik van TLS-implementatiesvoor meer informatie over welke combinaties van elliptische curven en coderingssuites worden ingeschakeld in de FIPS-modus.
Windows 7, Windows 8 en Windows Server 2012 worden bijgewerkt door de Windows Update door de 3042058 update die de prioriteitsvolgorde wijzigt. Zie Microsoft Security Advisory 3042058 voor meer informatie. De volgende coderingssuites zijn ingeschakeld en worden standaard in deze prioriteitsvolgorde door de Microsoft Schannel-provider gebruikt:
| Reeks voor ciphersuite | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Nee | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 alleen gebruikt wanneer de toepassing expliciet aanvraagt. | Ja | SSL 2.0 |
De volgende coderingssuites worden ondersteund door de Microsoft Schannel-provider, maar niet standaard ingeschakeld:
| Tekenreeks voor ciphersuite | Toegestaan door SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versies |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Nee | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Ja | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Nee | SSL 2.0 |
Als u coderingssuites wilt toevoegen, gebruikt u de groepsbeleidsinstelling SSL Cipher Suite Order onder Computerconfiguratie > Beheersjablonen > Netwerk > SSL-configuratie-instellingen om een prioriteitslijst te configureren voor alle coderingssuites die u wilt inschakelen.