TLS-Verschlüsselungssammlungen in Windows 7
Verschlüsselungssammlungen können nur für TLS-Versionen ausgehandelt werden, die sie unterstützen. Die höchste unterstützte TLS-Version wird im TLS-Handshake immer bevorzugt. Beispielsweise kann SSL CK RC4 128 WITH MD5 nur verwendet werden, wenn sowohl der Client als auch der Server _ _ TLS _ _ _ 1.2, 1.1 & 1.0 oder SSL 3.0 nicht unterstützen, da es nur mit SSL 2.0 unterstützt wird.
Die Verfügbarkeit von Verschlüsselungssammlungen sollte auf zwei Arten gesteuert werden:
- Die Standardprioritäts reihenfolge wird überschrieben, wenn eine Prioritätsliste konfiguriert wird. Verschlüsselungssammlungen, die nicht in der Prioritätsliste enthalten sind, werden nicht verwendet.
- Zulässig, wenn die Anwendung SCH USE STRONG CRYPTO besteht: Der _ Microsoft _ _ Schannel-Anbieter filtert bekannte schwache Verschlüsselungssammlungen heraus, wenn die Anwendung das FLAG SCH _ USE STRONG CRYPTO _ _ verwendet. In Windows 7 werden RC4-Verschlüsselungssammlungen herausgefiltert.
Wichtig
HTTP/2-Webdienste führen bei nicht HTTP/2-kompatiblen Verschlüsselungssammlungen zu einem Fehler. Um sicherzustellen, dass Ihre Webdienste mit HTTP/2-Clients und -Browsern funktionieren, lesen Sie How to deploy custom cipher suite ordering (Bereitstellen einer benutzerdefinierten Verschlüsselungssammlungsbestellung).
Die FIPS-Konformität wurde durch das Hinzufügen elliptischer Kurven komplexer, wodurch die Spalte fips mode enabled (FIPS-Modus aktiviert) in früheren Versionen dieser Tabelle irreführend wurde. Beispielsweise ist eine Verschlüsselungssammlung wie TLS _ ECDHE _ RSA _ WITH _ AES _ 128 _ CBC _ SHA256 nur FIPS-konform, wenn NIST-elliptische Kurven verwendet werden. Um herauszufinden, welche Kombinationen aus elliptischen Kurven und Verschlüsselungssammlungen im FIPS-Modus aktiviert werden, lesen Sie Abschnitt 3.3.1 der Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS-Implementierungen.
Windows 7, Windows 8 und Windows Server 2012 werden durch das Windows Update durch das 3042058 aktualisiert, wodurch die Prioritäts reihenfolge geändert wird. Weitere Informationen finden Sie 3042058 Microsoft Security Advisory. Die folgenden Verschlüsselungssammlungen sind vom Microsoft Schannel-Anbieter standardmäßig in dieser Prioritäts reihenfolge aktiviert:
| Verschlüsselungssammlungszeichenfolge | Zulässig durch SCH _ USE _ STRONG _ CRYPTO | TLS/SSL-Protokollversionen |
|---|---|---|
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ RSA MIT _ _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ DHE _ RSA MIT _ _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ 3DES _ EDE _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ MIT _ RC4 _ 128 _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ MIT _ RC4 _ 128 _ MD5 |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA MIT NULL _ _ _ SHA256 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
TLS 1.2 |
| TLS _ RSA MIT NULL _ _ _ SHA Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL _ CK _ RC4 _ 128 _ MIT _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Nein |
SSL 2.0 |
| SSL _ CK _ DES _ 192 _ EDE3 _ CBC MIT _ _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
SSL 2.0 |
Die folgenden Verschlüsselungssammlungen werden vom Microsoft Schannel-Anbieter unterstützt, aber standardmäßig nicht aktiviert:
| Verschlüsselungssammlungszeichenfolge | Zulässig durch SCH _ USE _ STRONG _ CRYPTO | TLS/SSL-Protokollversionen |
|---|---|---|
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA MIT DES _ _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT1024 _ MIT _ RC4 _ 56 _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT1024 _ MIT DES _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT _ WITH _ RC4 _ 40 _ MD5 |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA MIT NULL _ _ _ MD5 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ DHE _ DSS _ MIT DES _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ DHE _ DSS _ EXPORT1024 _ MIT DES _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL _ CK _ DES _ 64 _ CBC MIT _ _ MD5 |
Ja |
SSL 2.0 |
| SSL _ CK _ RC4 _ 128 _ EXPORT40 _ MIT _ MD5 |
Nein |
SSL 2.0 |
Um Verschlüsselungssammlungen hinzuzufügen, verwenden Sie die Gruppenrichtlinieneinstellung SSL Cipher Suite Order unter Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfiguration Einstellungen, um eine Prioritätsliste für alle Verschlüsselungssammlungen zu konfigurieren, die Sie aktivieren möchten.