TLS-Änderungen (Schannel SSP) in Windows 10 und Windows Server 2016TLS (Schannel SSP) changes in Windows 10 and Windows Server 2016

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016 und Windows 10Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016 and Windows 10

Verschlüsselungs Sammlungs ÄnderungenCipher Suite Changes

Windows 10, Version 1511 und Windows Server 2016 fügen Unterstützung für die Konfiguration der Verschlüsselung der Verschlüsselungs Suite mithilfe der Verwaltung mobiler Geräte (Mobile Device Management, MDM) hinzu.Windows 10, version 1511 and Windows Server 2016 add support for configuration of cipher suite order using Mobile Device Management (MDM).

Informationen zu den Änderungen der Prioritäts Reihenfolge der Verschlüsselungs Suite finden Sie unter Verschlüsselungs Sammlungen in Schannel.For cipher suite priority order changes, see Cipher Suites in Schannel.

Unterstützung für die folgenden Verschlüsselungs Sammlungen hinzugefügt:Added support for the following cipher suites:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (RFC 5289) in Windows 10, Version 1507 und Windows Server 2016TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (RFC 5289) in Windows 10, version 1507 and Windows Server 2016
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (RFC 5289) in Windows 10, Version 1507 und Windows Server 2016TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (RFC 5289) in Windows 10, version 1507 and Windows Server 2016

Disabledbydefault-Änderung für die folgenden Verschlüsselungs Sammlungen:DisabledByDefault change for the following cipher suites:

  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (RFC 5246) in Windows 10, Version 1703TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (RFC 5246) in Windows 10, version 1703
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (RFC 5246) in Windows 10, Version 1703TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (RFC 5246) in Windows 10, version 1703
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA (RFC 5246) in Windows 10, Version 1703TLS_DHE_DSS_WITH_AES_256_CBC_SHA (RFC 5246) in Windows 10, version 1703
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA (RFC 5246) in Windows 10, Version 1703TLS_DHE_DSS_WITH_AES_128_CBC_SHA (RFC 5246) in Windows 10, version 1703
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (RFC 5246) in Windows 10, Version 1703TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (RFC 5246) in Windows 10, version 1703
  • TLS_RSA_WITH_RC4_128_SHA in Windows 10, Version 1709TLS_RSA_WITH_RC4_128_SHA in Windows 10, version 1709
  • TLS_RSA_WITH_RC4_128_MD5 in Windows 10, Version 1709TLS_RSA_WITH_RC4_128_MD5 in Windows 10, version 1709

Ab Windows 10, Version 1507 und Windows Server 2016, werden SHA 512-Zertifikate standardmäßig unterstützt.Starting with Windows 10, version 1507 and Windows Server 2016, SHA 512 certificates are supported by default.

RSA-Schlüssel ÄnderungenRSA key changes

Windows 10, Version 1507 und Windows Server 2016 fügen Sie Registrierungs Konfigurationsoptionen für Client-RSA-Schlüsselgrößen hinzu.Windows 10, version 1507 and Windows Server 2016 add registry configuration options for client RSA key sizes.

Weitere Informationen finden Sie unter keyexchangealgorithmus-Client RSA Key sizes.For more information, see KeyExchangeAlgorithm - Client RSA key sizes.

Diffie-Hellman-Schlüssel ÄnderungenDiffie-Hellman key changes

Windows 10, Version 1507 und Windows Server 2016 fügen Sie Registrierungs Konfigurationsoptionen für Diffie-Hellman-Schlüsselgrößen hinzu.Windows 10, version 1507 and Windows Server 2016 add registry configuration options for Diffie-Hellman key sizes.

Weitere Informationen finden Sie unter keyexchangealgorithmus-Diffie-Hellman-Schlüsselgrößen.For more information, see KeyExchangeAlgorithm - Diffie-Hellman key sizes.

SCH_USE_STRONG_CRYPTO-Optionen ändernSCH_USE_STRONG_CRYPTO option changes

Mit Windows 10, Version 1507 und Windows Server 2016, deaktiviert die SCH_USE_STRONG_CRYPTO -Option jetzt NULL-, MD5-, des-und Export Chiffren.With Windows 10, version 1507 and Windows Server 2016, SCH_USE_STRONG_CRYPTO option now disables NULL, MD5, DES, and export ciphers.

Änderungen der elliptischen KurveElliptical Curve changes

Windows 10, Version 1507 und Windows Server 2016 fügen Gruppenrichtlinie Konfiguration für elliptische Kurven unter Computer Konfiguration > Administrative Vorlagen > Netzwerk > ssl-Konfigurationseinstellungen hinzu.Windows 10, version 1507 and Windows Server 2016 add Group Policy configuration for elliptical curves under Computer Configuration > Administrative Templates > Network > SSL Configuration Settings. Die ECC-Kurven Reihenfolge gibt die Reihenfolge an, in der elliptische Kurven bevorzugt werden, und ermöglicht unterstützte Kurven, die nicht aktiviert sind.The ECC Curve Order list specifies the order in which elliptical curves are preferred as well as enables supported curves which are not enabled.

Unterstützung für die folgenden Ellipsen Kurven hinzugefügt:Added support for the following elliptical curves:

  • Benannte brainpoolp256r1 (RFC 7027) in Windows 10, Version 1507 und Windows Server 2016BrainpoolP256r1 (RFC 7027) in Windows 10, version 1507 and Windows Server 2016
  • Benannte brainpoolp384r1 (RFC 7027) in Windows 10, Version 1507 und Windows Server 2016BrainpoolP384r1 (RFC 7027) in Windows 10, version 1507 and Windows Server 2016
  • Benannte brainpoolp512r1 (RFC 7027) in Windows 10, Version 1507 und Windows Server 2016BrainpoolP512r1 (RFC 7027) in Windows 10, version 1507 and Windows Server 2016
  • Curve25519 (RFC Draft-IETF-TLS-Curve25519) in Windows 10, Version 1607 und Windows Server 2016Curve25519 (RFC draft-ietf-tls-curve25519) in Windows 10, version 1607 and Windows Server 2016

Unterstützung für die Dispatch-Ebene für die versiesagemessage-&Dispatch level support for SealMessage & UnsealMessage

Windows 10, Version 1507 und Windows Server 2016 fügen Unterstützung für "versiesagemessage/unversiesagemessage" auf dispatchebene hinzu.Windows 10, version 1507 and Windows Server 2016 add support for SealMessage/UnsealMessage at dispatch level.

DTLS 1,2DTLS 1.2

Windows 10, Version 1607 und Windows Server 2016, Unterstützung für DTLS 1,2 (RFC 6347) hinzufügen.Windows 10, version 1607 and Windows Server 2016 add support for DTLS 1.2 (RFC 6347).

HTTP. SYS-Thread PoolHTTP.SYS thread pool

Windows 10, Version 1607 und Windows Server 2016 fügen Sie die Registrierungs Konfiguration der Größe des Thread Pools hinzu, der zum Verarbeiten von TLS-Handshakes für HTTP verwendet wird. Einsetzt.Windows 10, version 1607 and Windows Server 2016 add registry configuration of the size of the thread pool used to handle TLS handshakes for HTTP.SYS.

Registrierungs Pfad:Registry path:

HKLM\System\CurrentControlSet\Control\LSAHKLM\SYSTEM\CurrentControlSet\Control\LSA

Um eine maximale Thread Pool Größe pro CPU-Kern anzugeben, erstellen Sie einen maxasyncworkerthreadspercpu -Eintrag.To specify a maximum thread pool size per CPU core, create a MaxAsyncWorkerThreadsPerCpu entry. Dieser Eintrag ist nicht standardmäßig in der Registrierung vorhanden.This entry does not exist in the registry by default. Nachdem Sie den Eintrag erstellt haben, ändern Sie den DWORD-Wert in die gewünschte Größe.After you have created the entry, change the DWORD value to the desired size. Wenn nicht konfiguriert, beträgt der Höchstwert 2 Threads pro CPU-Kern.If not configured, then the maximum is 2 threads per CPU core.

Unterstützung der nächsten Protokoll Aushandlung (NPN)Next Protocol Negotiation (NPN) support

Ab Windows 10, Version 1703, wurde die nächste Protokoll Verhandlung (NPN) entfernt und wird nicht mehr unterstützt.Beginning with Windows 10 version 1703, Next Protocol Negotiation (NPN) has been removed and is no longer supported.

Vorinstaltzter Schlüssel (PSK)Pre-Shared Key (PSK)

Windows 10, Version 1607 und Windows Server 2016 fügen Unterstützung für den PSK-Schlüsselaustausch Algorithmus (RFC 4279) hinzu.Windows 10, version 1607 and Windows Server 2016 add support for PSK key exchange algorithm (RFC 4279).

Unterstützung für die folgenden PSK-Verschlüsselungs Sammlungen hinzugefügt:Added support for the following PSK cipher suites:

  • TLS_PSK_WITH_AES_128_CBC_SHA256 (RFC 5487) in Windows 10, Version 1607 und Windows Server 2016TLS_PSK_WITH_AES_128_CBC_SHA256 (RFC 5487) in Windows 10, version 1607 and Windows Server 2016
  • TLS_PSK_WITH_AES_256_CBC_SHA384 (RFC 5487) in Windows 10, Version 1607 und Windows Server 2016TLS_PSK_WITH_AES_256_CBC_SHA384(RFC 5487) in Windows 10, version 1607 and Windows Server 2016
  • TLS_PSK_WITH_NULL_SHA256 (RFC 5487) in Windows 10, Version 1607 und Windows Server 2016TLS_PSK_WITH_NULL_SHA256 (RFC 5487) in Windows 10, version 1607 and Windows Server 2016
  • TLS_PSK_WITH_NULL_SHA384 (RFC 5487) in Windows 10, Version 1607 und Windows Server 2016TLS_PSK_WITH_NULL_SHA384 (RFC 5487) in Windows 10, version 1607 and Windows Server 2016
  • TLS_PSK_WITH_AES_128_GCM_SHA256 (RFC 5487) in Windows 10, Version 1607 und Windows Server 2016TLS_PSK_WITH_AES_128_GCM_SHA256 (RFC 5487) in Windows 10, version 1607 and Windows Server 2016
  • TLS_PSK_WITH_AES_256_GCM_SHA384 (RFC 5487) in Windows 10, Version 1607 und Windows Server 2016TLS_PSK_WITH_AES_256_GCM_SHA384 (RFC 5487) in Windows 10, version 1607 and Windows Server 2016

Sitzungs Wiederaufnahme ohne serverseitige Verbesserung der serverseitigen LeistungSession Resumption without Server-Side State server-side performance improvements

Windows 10, Version 1507 und Windows Server 2016 bieten im Vergleich zu Windows Server 2012 30% mehr Sitzungs fortläufe pro Sekunde mit Sitzungs Tickets.Windows 10, version 1507 and Windows Server 2016 provide 30% more session resumptions per second with session tickets compared to Windows Server 2012.

Sitzungs Hash und erweiterte Erweiterung für den geheimen HauptschlüsselSession Hash and Extended Master Secret Extension

Windows 10, Version 1507 und Windows Server 2016, Unterstützung für RFC 7627 hinzufügen: Transport Layer Security (TLS)-Sitzungs Hash und erweiterte Erweiterung für den geheimen Hauptschlüssel.Windows 10, version 1507 and Windows Server 2016 add support for RFC 7627: Transport Layer Security (TLS) Session Hash and Extended Master Secret Extension.

Aufgrund dieser Änderung sind für Windows 10 und Windows Server 2016 Updates von Drittanbietern erforderlich, um NCRYPT_SSL_INTERFACE_VERSION_3 zu unterstützen und diese neue Schnittstelle zu beschreiben.Due to this change, Windows 10 and Windows Server 2016 requires 3rd party CNG SSL provider updates to support NCRYPT_SSL_INTERFACE_VERSION_3, and to describe this new interface.

SSL-UnterstützungSSL support

Ab Windows 10, Version 1607 und Windows Server 2016, sind der TLS-Client und der Server-SSL 3,0 standardmäßig deaktiviert.Beginning with Windows 10, version 1607 and Windows Server 2016, the TLS client and server SSL 3.0 is disabled by default. Dies bedeutet, dass der Client nicht SSL 3,0 anbietet oder akzeptiert, es sei denn, die Anwendung oder der Dienst fordert SSL 3,0 über die SSPI an, und der Server wählt niemals SSL 3,0 aus.This means that unless the application or service specifically requests SSL 3.0 via the SSPI, the client will never offer or accept SSL 3.0 and the server will never select SSL 3.0.

Ab Windows 10, Version 1607 und Windows Server 2016, wurde SSL 2,0 entfernt und wird nicht mehr unterstützt.Beginning with Windows 10 version 1607 and Windows Server 2016, SSL 2.0 has been removed and is no longer supported.

Änderungen an der Windows TLS-Einhaltung der TLS 1,2-Anforderungen für Verbindungen mit nicht kompatiblen TLS-ClientsChanges to Windows TLS adherence to TLS 1.2 requirements for connections with non-compliant TLS clients

In TLS 1,2 verwendet der Client die Erweiterung "signature_algorithms" , um dem Server mitzuteilen, welche Signatur-/Hashalgorithmus-Paare in digitalen Signaturen (d. h. Server Zertifikate und Server Schlüsselaustausch) verwendet werden können.In TLS 1.2, the client uses the "signature_algorithms" extension to indicate to the server which signature/hash algorithm pairs may be used in digital signatures (i.e., server certificates and server key exchange). Die TLS 1,2-RFC erfordert auch, dass die Serverzertifikat Nachricht die Erweiterung "signature_algorithms" berücksichtigt:The TLS 1.2 RFC also requires that the server Certificate message honor "signature_algorithms" extension:

"Wenn der Client eine" signature_algorithms "-Erweiterung bereitgestellt hat, müssen alle vom Server bereitgestellten Zertifikate von einem Hash-/signaturalgorithmuspaar signiert werden, das in dieser Erweiterung angezeigt wird.""If the client provided a "signature_algorithms" extension, then all certificates provided by the server MUST be signed by a hash/signature algorithm pair that appears in that extension."

In der Praxis stimmen einige TLS-Clients von Drittanbietern nicht mit TLS 1,2 RFC überein und können nicht alle Signatur-und Hash Algorithmus-Paare einschließen, die Sie in der Erweiterung "signature_algorithms" akzeptieren möchten, oder die Erweiterung weglassen (letzteres gibt an der Server, den der Client nur SHA1 mit RSA, DSA oder ECDSA unterstützt.In practice, some third-party TLS clients do not comply with the TLS 1.2 RFC and fail to include all the signature and hash algorithm pairs they are willing to accept in the "signature_algorithms" extension, or omit the extension altogether (the latter indicates to the server that the client only supports SHA1 with RSA, DSA or ECDSA).

Ein TLS-Server verfügt häufig nur über ein Zertifikat, das pro Endpunkt konfiguriert ist. Dies bedeutet, dass der Server nicht immer ein Zertifikat bereitstellen kann, das die Anforderungen des Clients erfüllt.A TLS server often only has one certificate configured per endpoint, which means the server can't always supply a certificate that meets the client's requirements.

Vor Windows 10 und Windows Server 2016 hat der Windows TLS-Stapel streng den TLS 1,2 RFC-Anforderungen gerecht, was zu Verbindungsfehlern mit nicht kompatiblen RFC-Clients und Interoperabilitätsproblemen führt.Prior to Windows 10 and Windows Server 2016, the Windows TLS stack strictly adhered to the TLS 1.2 RFC requirements, resulting in connection failures with RFC non-compliant TLS clients and interoperability issues. In Windows 10 und Windows Server 2016 werden die Einschränkungen gelockert, und der Server kann ein Zertifikat senden, das nicht mit TLS 1,2 RFC übereinstimmt, wenn dies die einzige Option des Servers ist.In Windows 10 and Windows Server 2016, the constraints are relaxed and the server can send a certificate that does not comply with TLS 1.2 RFC, if that's the server's only option. Der Client kann dann den Hand Shake Vorgang fortsetzen oder beenden.The client may then continue or terminate the handshake.

Beim Validieren von Server-und Client Zertifikaten erfüllt der Windows TLS-Stapel streng die TLS 1,2-RFC und lässt nur die ausgehandelte Signatur und die Hash Algorithmen in den Server-und Client Zertifikaten zu.When validating server and client certificates, the Windows TLS stack strictly complies with the TLS 1.2 RFC and only allows the negotiated signature and hash algorithms in the server and client certificates.