TLS Krypteringssviter i Windows 8.1
Chiffersviter kan bara förhandlas för TLS-versioner som stöder dem. Den högsta TLS-versionen som stöds föredras alltid i TLS-handskakningen. Till exempel kan SSL_CK_RC4_128_WITH_MD5 endast användas när både klienten och servern inte stöder TLS 1.2, 1.1 & 1.0 eller SSL 3.0 eftersom det endast stöds med SSL 2.0.
Tillgängligheten för chiffersviter bör kontrolleras på något av två sätt:
- Standardprioritetsordningen åsidosättas när en prioritetslista konfigureras. Chiffersviter som inte finns i prioritetslistan används inte.
- Tillåts när programmet passerar SCH_USE_STRONG_CRYPTO: Microsoft Schannel-providern filtrerar bort kända svaga chiffersviter när programmet använder flaggan SCH_USE_STRONG_CRYPTO. I Windows 8.1 filtreras bort RC4-chiffersviter.
Viktig
HTTP/2-webbtjänster misslyckas med icke-HTTP/2-kompatibla chiffersviter. Information om hur du ser till att webbtjänsterna fungerar med HTTP/2-klienter och webbläsare finns i Så här distribuerar du anpassad chiffersvitordning.
FIPS-efterlevnad har blivit mer komplex med tillägg av elliptiska kurvor, vilket gör kolumnen för att FIPS-läge är aktiverat i tidigare versioner av den här tabellen missvisande. Till exempel är en chiffersvit som TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 endast FIPS-kompatibel när du använder NIST-elliptiska kurvor. Information om vilka kombinationer av elliptiska kurvor och chiffersviter som ska aktiveras i FIPS-läge finns i avsnitt 3.3.1 i Riktlinjer för urval, konfiguration och användning av TLS-implementeringar.
Windows 8.1 och Windows Server 2012 R2 uppdateras via Windows Update med uppdatering 2919355, som lägger till nya chiffersviter och ändrar prioritetsordningen. Följande chiffersviter är aktiverade och i den här prioritetsordningen som standard av Microsoft Schannel-providern:
| Chiffersvitsträng | Tillåts av SCH_USE_STRONG_CRYPTO | TLS/SSL-protokollversioner |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Används endast när programmet uttryckligen begär. | Ja | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Används endast när programmet uttryckligen begär. | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Används endast när programmet uttryckligen begär. | Nej | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Används endast när programmet uttryckligen begär. | Ja | SSL 2.0 |
Följande chiffersviter stöds av Microsoft Schannel-providern, men är inte aktiverade som standard:
| Chiffersvitsträng | Tillåts av SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versioner |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Ja | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Nej | SSL 2.0 |
Om du vill lägga till chiffersviter använder du grupprincipinställningen SSL Cipher Suite Order under Datorkonfiguration > Administrativa mallar > Konfigurationsinställningar för nätverk > SSL för att konfigurera en prioritetslista för alla chiffersviter som du vill aktivera.