TLS Cipher Suites no Windows 7
Os pacotes de codificação só podem ser negociados para versões TLS que os suportem. A versão TLS mais alta suportada é sempre preferida no handshake TLS. Por exemplo, SSL_CK_RC4_128_WITH_MD5 só pode ser usado quando o cliente e o servidor não suportam TLS 1.2, 1.1 & 1.0 ou SSL 3.0, uma vez que só é suportado com SSL 2.0.
A disponibilidade de pacotes de codificação deve ser controlada de duas maneiras:
- A ordem de prioridade padrão é substituída quando uma lista de prioridades é configurada. Os pacotes de codificação que não estão na lista de prioridades não serão usados.
- Permitido quando a aplicação utiliza SCH_USE_STRONG_CRYPTO: O fornecedor Microsoft Schannel filtrará conjuntos de cifras fracos conhecidos quando a aplicação usar o sinalizador SCH_USE_STRONG_CRYPTO. No Windows 7, os pacotes de codificação RC4 são filtrados.
Importante
Os serviços Web HTTP/2 falham com pacotes de codificação não compatíveis com HTTP/2. Para garantir que os seus serviços da Web funcionem com clientes e navegadores HTTP/2, consulte Como implantar a ordenação de suites de cifras personalizadas.
A conformidade com FIPS tornou-se mais complexa com a adição de curvas elípticas, tornando a coluna habilitada para modo FIPS em versões anteriores desta tabela enganosa. Por exemplo, um conjunto de cifras como o TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 só é compatível com FIPS ao usar curvas elípticas NIST. Para descobrir quais combinações de curvas elípticas e conjuntos de codificação serão habilitadas no modo FIPS, consulte a seção 3.3.1 de Diretrizes para a seleção, configuração e uso de implementações TLS.
O Windows 7, o Windows 8 e o Windows Server 2012 são atualizados pelo Windows Update pela atualização 3042058 que altera a ordem de prioridade. Consulte 3042058 do Comunicado de Segurança da Microsoft para obter mais informações. Os seguintes pacotes de codificação são habilitados e nessa ordem de prioridade por padrão pelo Microsoft Schannel Provider:
| String da suíte de codificação | Permitido por SCH_USE_STRONG_CRYPTO | Versões do protocolo TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Sim | TLS 1,2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Sim | TLS 1,2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Sim | TLS 1,2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Sim | TLS 1,2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Sim | TLS 1,2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Sim | TLS 1,2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Sim | TLS 1,2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Sim | TLS 1,2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Sim | TLS 1,2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Sim | TLS 1,2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Sim | TLS 1,2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Sim | TLS 1,2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Não | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Não | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Usado somente quando o aplicativo solicita explicitamente. | Sim | TLS 1,2 |
| TLS_RSA_WITH_NULL_SHA Usado somente quando o aplicativo solicita explicitamente. | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Usado somente quando o aplicativo solicita explicitamente. | Não | SSL 2,0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Usado somente quando o aplicativo solicita explicitamente. | Sim | SSL 2,0 |
Os seguintes pacotes de codificação são suportados pelo Microsoft Schannel Provider, mas não habilitados por padrão:
| Sequência de conjunto de cifras | Permitido por SCH_USE_STRONG_CRYPTO | Versões do protocolo TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Sim | TLS 1,2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Sim | TLS 1,2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Sim | TLS 1,2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Sim | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Não | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Não | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Sim | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Sim | SSL 2,0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Não | SSL 2,0 |
Para adicionar suites de cifras, use a configuração de política de grupo SSL Cipher Suite Order em Computer Configuration > Administrative Templates > Network > SSL Configuration Settings para configurar uma lista de prioridades para todas as suites de cifras que pretende habilitar.