Наборы шифров TLS в Windows 8
Наборы шифров могут быть согласованы только для версий TLS, которые поддерживают их. Наиболее поддерживаемая версия TLS всегда предпочтительна в подтверждении TLS. Например, SSL_CK_RC4_128_WITH_MD5 можно использовать только в том случае, если клиент и сервер не поддерживают TLS 1.2, 1.1 и 1.0 или SSL 3.0, так как он поддерживается только с SSL 2.0.
Доступность наборов шифров должна контролироваться одним из двух способов:
- Порядок приоритета по умолчанию переопределяется при настройке списка приоритетов. Наборы шифров, не входящие в список приоритетов, не будут использоваться.
- Разрешено, когда приложение проходит SCH_USE_STRONG_CRYPTO: поставщик Microsoft Schannel отфильтрует известные слабые наборы шифров, когда приложение использует флаг SCH_USE_STRONG_CRYPTO. В Windows 8 наборы шифров RC4 отфильтровываются.
Внимание
Сбой веб-служб HTTP/2 с наборами шифров, совместимыми с HTTP/2. Чтобы убедиться, что веб-службы работают с клиентами и браузерами HTTP/2, см. инструкции по развертыванию упорядочения пользовательских наборов шифров.
Соответствие FIPS стало более сложным с добавлением многоточийных кривых, что делает столбец с включенным режимом FIPS в предыдущих версиях этой таблицы вводящим в заблуждение. Например, набор шифров, например TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, соответствует только FIPS при использовании многоточийных кривых NIST. Чтобы узнать, какие сочетания эллиптических кривых и наборов шифров будут включены в режиме FIPS, см. в разделе 3.3.1 руководства по выбору, настройке и использованию реализаций TLS.
Windows 7, Windows 8 и Windows Server 2012 обновляются Обновл. Windows обновлением 3042058, которое изменяет порядок приоритета. Дополнительные сведения см . в 3042058 рекомендаций по безопасности Майкрософт. Следующие наборы шифров включены и в этом порядке приоритета по умолчанию поставщиком Microsoft Schannel:
| Строка набора шифров | Разрешено SCH_USE_STRONG_CRYPTO | Версии протокола TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Да | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Да | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Да | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Да | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Да | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Да | TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Да | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Да | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Да | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Да | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Да | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Да | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 используется только при явном запросе приложения. | Да | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA используется только при явном запросе приложения. | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 используется только при явном запросе приложения. | No | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 используется только при явном запросе приложения. | Да | SSL 2.0 |
Следующие наборы шифров поддерживаются поставщиком Microsoft Schannel, но не включены по умолчанию:
| Строка набора шифров | Разрешено SCH_USE_STRONG_CRYPTO | Версии протокола TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Да | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Да | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Да | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Да | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Да | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Да | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | No | SSL 2.0 |
Чтобы добавить наборы шифров, используйте параметр групповой политики ssl Cipher Suite Order в разделе "Параметры конфигурации административных шаблонов >> конфигурации > компьютера", чтобы настроить список приоритетов для всех наборов шифров, которые вы хотите включить.