TLS Cipher Suites in Windows 8

Cipher-Suites können nur für TLS-Versionen ausgehandelt werden, die sie unterstützen. Die höchste unterstützte TLS-Version wird immer im TLS-Handshake bevorzugt. Beispielsweise kann SSL_CK_RC4_128_WITH_MD5 nur verwendet werden, wenn sowohl der Client als auch der Server TLS 1.2, 1.1 & 1.0 oder SSL 3.0 nicht unterstützt werden, da es nur mit SSL 2.0 unterstützt wird.

Die Verfügbarkeit von Verschlüsselungssuiten sollte auf zwei Arten gesteuert werden:

  • Die Standardprioritätsreihenfolge wird außer Kraft gesetzt, wenn eine Prioritätsliste konfiguriert ist. Cipher-Suiten, die nicht in der Prioritätsliste enthalten sind, werden nicht verwendet.
  • Zulässig, wenn die Anwendung SCH_USE_STRONG_CRYPTO übergibt: Der Microsoft Schannel-Anbieter filtert bekannte schwache Verschlüsselungssuiten aus, wenn die Anwendung das SCH_USE_STRONG_CRYPTO-Flag verwendet. In Windows 8 werden RC4-Verschlüsselungssuiten gefiltert.

Wichtig

HTTP/2-Webdienste können mit nicht HTTP/2 kompatiblen Verschlüsselungssuiten fehlschlagen. Um sicherzustellen, dass Ihre Webdienstfunktion mit HTTP/2-Clients und Browsern funktioniert, finden Sie in der Bereitstellung benutzerdefinierter Verschlüsselungs suite-Reihenfolge.

 

FIPS-Compliance ist mit der Ergänzung von elliptischen Kurven komplexer geworden, wodurch die FIPS-Modus in früheren Versionen dieser Tabelle irreführend ist. Beispielsweise ist eine Verschlüsselungs suite wie TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 nur FIPS-konform, wenn Sie NIST elliptische Kurven verwenden. Um herauszufinden, welche Kombinationen von elliptischen Kurven und Verschlüsselungssuiten im FIPS-Modus aktiviert werden, finden Sie im Abschnitt 3.3.1 von Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS-Implementierungen.

Windows 7, Windows 8 und Windows Server 2012 werden vom Windows Update durch das 3042058 Update aktualisiert, das die Prioritätsreihenfolge ändert. Weitere Informationen finden Sie unter Microsoft Security Advisory 3042058 . Die folgenden Verschlüsselungssuiten sind aktiviert und in dieser Prioritätsreihenfolge standardmäßig vom Microsoft Schannel-Anbieter aktiviert:

Cipher-Suite-Zeichenfolge Zulässig durch SCH_USE_STRONG_CRYPTO TLS/SSL-Protokollversionen
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
Yes
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
Yes
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
Yes
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
Yes
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Ja
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Yes
TLS 1.2
TLS_RSA_WITH_AES_256_GCM_SHA384
Ja
TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256
Ja
TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
Yes
TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
Ja
TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_128_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
Yes
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
Ja
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
Yes
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
Yes
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
Ja
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
Yes
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Yes
TLS 1.2
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
Yes
TLS 1.2
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_SHA
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_MD5
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_NULL_SHA256
Wird nur verwendet, wenn die Anwendung explizit anfordert.
Yes
TLS 1.2
TLS_RSA_WITH_NULL_SHA
Wird nur verwendet, wenn die Anwendung explizit anfordert.
Yes
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL_CK_RC4_128_WITH_MD5
Wird nur verwendet, wenn die Anwendung explizit anfordert.
Nein
SSL 2.0
SSL_CK_DES_192_EDE3_CBC_WITH_MD5
Wird nur verwendet, wenn die Anwendung explizit anfordert.
Yes
SSL 2.0

 

Die folgenden Verschlüsselungssuiten werden vom Microsoft Schannel-Anbieter unterstützt, jedoch nicht standardmäßig aktiviert:

Verschlüsselungssuitezeichenfolge Zulässig durch SCH_USE_STRONG_CRYPTO TLS/SSL-Protokollversionen
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Yes
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
Yes
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
Ja
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
Yes
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
Ja
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
Yes
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521
Yes
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_DES_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT_WITH_RC4_40_MD5
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_NULL_MD5
Yes
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_WITH_DES_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
Yes
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL_CK_DES_64_CBC_WITH_MD5
Ja
SSL 2.0
SSL_CK_RC4_128_EXPORT40_WITH_MD5
Nein
SSL 2.0

 

Um Verschlüsselungssuiten hinzuzufügen, verwenden Sie die Gruppenrichtlinieneinstellung SSL Cipher Suite Order unter "Computer Configuration > Administrative Templates > Network > SSL Configuration" Einstellungen, um eine Prioritätsliste für alle verschlüsselungsfähigen Suites zu konfigurieren.