TLS-Verschlüsselungssammlungen in Windows 7

Verschlüsselungssammlungen können nur für TLS-Versionen ausgehandelt werden, die sie unterstützen. Die höchste unterstützte TLS-Version wird im TLS-Handshake immer bevorzugt. Beispielsweise kann SSL CK RC4 128 WITH MD5 nur verwendet werden, wenn sowohl der Client als auch der Server _ _ TLS _ _ _ 1.2, 1.1 & 1.0 oder SSL 3.0 nicht unterstützen, da es nur mit SSL 2.0 unterstützt wird.

Die Verfügbarkeit von Verschlüsselungssammlungen sollte auf zwei Arten gesteuert werden:

  • Die Standardprioritäts reihenfolge wird überschrieben, wenn eine Prioritätsliste konfiguriert wird. Verschlüsselungssammlungen, die nicht in der Prioritätsliste enthalten sind, werden nicht verwendet.
  • Zulässig, wenn die Anwendung SCH USE STRONG CRYPTO besteht: Der _ Microsoft _ _ Schannel-Anbieter filtert bekannte schwache Verschlüsselungssammlungen heraus, wenn die Anwendung das FLAG SCH _ USE STRONG CRYPTO _ _ verwendet. In Windows 7 werden RC4-Verschlüsselungssammlungen herausgefiltert.

Wichtig

HTTP/2-Webdienste führen bei nicht HTTP/2-kompatiblen Verschlüsselungssammlungen zu einem Fehler. Um sicherzustellen, dass Ihre Webdienste mit HTTP/2-Clients und -Browsern funktionieren, lesen Sie How to deploy custom cipher suite ordering (Bereitstellen einer benutzerdefinierten Verschlüsselungssammlungsbestellung).

Die FIPS-Konformität wurde durch das Hinzufügen elliptischer Kurven komplexer, wodurch die Spalte fips mode enabled (FIPS-Modus aktiviert) in früheren Versionen dieser Tabelle irreführend wurde. Beispielsweise ist eine Verschlüsselungssammlung wie TLS _ ECDHE _ RSA _ WITH _ AES _ 128 _ CBC _ SHA256 nur FIPS-konform, wenn NIST-elliptische Kurven verwendet werden. Um herauszufinden, welche Kombinationen aus elliptischen Kurven und Verschlüsselungssammlungen im FIPS-Modus aktiviert werden, lesen Sie Abschnitt 3.3.1 der Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS-Implementierungen.

Windows 7, Windows 8 und Windows Server 2012 werden durch das Windows Update durch das 3042058 aktualisiert, wodurch die Prioritäts reihenfolge geändert wird. Weitere Informationen finden Sie 3042058 Microsoft Security Advisory. Die folgenden Verschlüsselungssammlungen sind vom Microsoft Schannel-Anbieter standardmäßig in dieser Prioritäts reihenfolge aktiviert:

Verschlüsselungssammlungszeichenfolge Zulässig durch SCH _ USE _ STRONG _ CRYPTO TLS/SSL-Protokollversionen
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ RSA MIT _ _ AES _ 256 _ GCM _ SHA384
Ja
TLS 1.2
TLS _ DHE _ RSA MIT _ _ AES _ 128 _ GCM _ SHA256
Ja
TLS 1.2
TLS _ DHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA _ MIT _ AES _ 256 _ GCM _ SHA384
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 128 _ GCM _ SHA256
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA _ MIT _ 3DES _ EDE _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ MIT _ RC4 _ 128 _ SHA
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ MIT _ RC4 _ 128 _ MD5
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA MIT NULL _ _ _ SHA256
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Ja
TLS 1.2
TLS _ RSA MIT NULL _ _ _ SHA
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL _ CK _ RC4 _ 128 _ MIT _ MD5
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Nein
SSL 2.0
SSL _ CK _ DES _ 192 _ EDE3 _ CBC MIT _ _ MD5
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Ja
SSL 2.0

Die folgenden Verschlüsselungssammlungen werden vom Microsoft Schannel-Anbieter unterstützt, aber standardmäßig nicht aktiviert:

Verschlüsselungssammlungszeichenfolge Zulässig durch SCH _ USE _ STRONG _ CRYPTO TLS/SSL-Protokollversionen
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA MIT DES _ _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ EXPORT1024 _ MIT _ RC4 _ 56 _ SHA
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ EXPORT1024 _ MIT DES _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ EXPORT _ WITH _ RC4 _ 40 _ MD5
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA MIT NULL _ _ _ MD5
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ DHE _ DSS _ MIT DES _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ DHE _ DSS _ EXPORT1024 _ MIT DES _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL _ CK _ DES _ 64 _ CBC MIT _ _ MD5
Ja
SSL 2.0
SSL _ CK _ RC4 _ 128 _ EXPORT40 _ MIT _ MD5
Nein
SSL 2.0

Um Verschlüsselungssammlungen hinzuzufügen, verwenden Sie die Gruppenrichtlinieneinstellung SSL Cipher Suite Order unter Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfiguration Einstellungen, um eine Prioritätsliste für alle Verschlüsselungssammlungen zu konfigurieren, die Sie aktivieren möchten.