TLS-Verschlüsselungssammlungen in Windows 10 v1511
Verschlüsselungssammlungen können nur für TLS-Versionen ausgehandelt werden, die sie unterstützen. Die höchste unterstützte TLS-Version wird im TLS-Handshake immer bevorzugt. Beispielsweise kann SSL CK RC4 128 WITH MD5 nur verwendet werden, wenn sowohl der Client als auch der Server _ _ TLS _ _ _ 1.2, 1.1 & 1.0 oder SSL 3.0 nicht unterstützen, da es nur mit SSL 2.0 unterstützt wird.
Die Verfügbarkeit von Verschlüsselungssammlungen sollte auf zwei Arten gesteuert werden:
- Die Standardprioritäts reihenfolge wird überschrieben, wenn eine Prioritätsliste konfiguriert wird. Verschlüsselungssammlungen, die nicht in der Prioritätsliste enthalten sind, werden nicht verwendet.
- Zulässig, wenn die Anwendung SCH USE STRONG CRYPTO besteht: Der _ Microsoft _ _ Schannel-Anbieter filtert bekannte schwache Verschlüsselungssammlungen heraus, wenn die Anwendung das FLAG SCH _ USE STRONG CRYPTO _ _ verwendet. In Windows 10 werden version 1511, zusätzlich zu RC4, DES, export und NULL-Verschlüsselungssammlungen herausgefiltert.
Wichtig
HTTP/2-Webdienste führen bei nicht HTTP/2-kompatiblen Verschlüsselungssammlungen zu einem Fehler. Um sicherzustellen, dass Ihre Webdienste mit HTTP/2-Clients und -Browsern funktionieren, lesen Sie How to deploy custom cipher suite ordering (Bereitstellen einer benutzerdefinierten Verschlüsselungssammlungsbestellung).
Die FIPS-Konformität wurde durch das Hinzufügen elliptischer Kurven komplexer, wodurch die Spalte fips mode enabled (FIPS-Modus aktiviert) in früheren Versionen dieser Tabelle irreführend wurde. Beispielsweise ist eine Verschlüsselungssammlung wie TLS _ ECDHE _ RSA _ WITH _ AES _ 128 _ CBC _ SHA256 nur FIPS-schwer, wenn elliptische NIST-Kurven verwendet werden. Um herauszufinden, welche Kombinationen aus elliptischen Kurven und Verschlüsselungssammlungen im FIPS-Modus aktiviert werden, lesen Sie Abschnitt 3.3.1 der Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS-Implementierungen.
Für Windows 10 Version 1511 sind die folgenden Verschlüsselungssammlungen mithilfe des Microsoft Schannel-Anbieters standardmäßig in dieser Prioritäts reihenfolge aktiviert:
| Verschlüsselungssammlungszeichenfolge | Zulässig durch SCH _ USE _ STRONG _ CRYPTO | TLS/SSL-Protokollversionen |
|---|---|---|
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ RSA MIT _ _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ DHE _ RSA MIT _ _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ 3DES _ EDE _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ MIT _ RC4 _ 128 _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ MIT _ RC4 _ 128 _ MD5 |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA MIT NULL _ _ _ SHA256 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Nein |
TLS 1.2 |
| TLS _ RSA MIT NULL _ _ _ SHA Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL _ CK _ DES _ 192 _ EDE3 _ CBC MIT _ _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
SSL 2.0 |
| SSL _ CK _ RC4 _ 128 _ MIT _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Nein |
SSL 2.0 |
Die folgenden Verschlüsselungssammlungen werden vom Microsoft Schannel-Anbieter unterstützt, aber standardmäßig nicht aktiviert:
| Verschlüsselungssammlungszeichenfolge | Zulässig durch SCH _ USE _ STRONG _ CRYPTO | TLS/SSL-Protokollversionen |
|---|---|---|
| TLS _ RSA MIT DES _ _ _ CBC _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT1024 _ MIT _ RC4 _ 56 _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT1024 _ MIT DES _ _ CBC _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT _ WITH _ RC4 _ 40 _ MD5 |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA MIT NULL _ _ _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ DHE _ DSS _ MIT DES _ _ CBC _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ DHE _ DSS _ EXPORT1024 _ MIT DES _ _ CBC _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL _ CK _ DES _ 64 _ CBC MIT _ _ MD5 |
Nein |
SSL 2.0 |
| SSL _ CK _ RC4 _ 128 _ EXPORT40 _ MIT _ MD5 |
Nein |
SSL 2.0 |
Um Verschlüsselungssammlungen hinzuzufügen, stellen Sie entweder eine Gruppenrichtlinie oder die TLS-Cmdlets zur Verfügung:
- Um gruppenrichtlinien zu verwenden, konfigurieren Sie die Reihenfolge der SSL-Verschlüsselungssammlung unter Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfiguration Einstellungen mit der Prioritätsliste für alle Verschlüsselungssammlungen, die Sie aktivieren möchten.
- Informationen zur Verwendung von PowerShell finden Sie unter TLS-Cmdlets.
Hinweis
Vor der Windows 10 wurden Verschlüsselungssammlungszeichenfolgen mit der elliptischen Kurve angefügt, um die Kurvenpriorität zu bestimmen. Windows 10 unterstützt eine Einstellung für die Reihenfolge der Elliptic Curve-Priorität, sodass das Elliptic Curve-Suffix nicht erforderlich ist und durch die neue Reihenfolge der Elliptic Curve-Priorität außer Kraft gesetzt wird, sofern angegeben, damit Organisationen gruppenrichtlinien verwenden können, um verschiedene Versionen von Windows mit den gleichen Verschlüsselungssammlungen zu konfigurieren.
Wichtig
HTTP/2-Webdienste sind nicht mit benutzerdefinierten TLS-Verschlüsselungssammlungsaufträgen kompatibel. Weitere Informationen finden Sie unter How to deploy custom cipher suite ordering.