TLS-Verschlüsselungssammlungen in Windows 8.1
Verschlüsselungssammlungen können nur für TLS-Versionen ausgehandelt werden, die diese unterstützen. Die höchste unterstützte TLS-Version wird immer im TLS-Handshake bevorzugt. Beispielsweise kann SSL _ CK _ RC4 _ 128 _ WITH _ MD5 nur verwendet werden, wenn sowohl der Client als auch der Server TLS 1.2, 1.1 & 1.0 oder SSL 3.0 nicht unterstützen, da es nur mit SSL 2.0 unterstützt wird.
Die Verfügbarkeit von Verschlüsselungssammlungen sollte auf zwei Arten gesteuert werden:
- Die Standardprioritätsreihenfolge wird überschrieben, wenn eine Prioritätsliste konfiguriert ist. Verschlüsselungssammlungen, die nicht in der Prioritätsliste enthalten sind, werden nicht verwendet.
- Zulässig, wenn die Anwendung SCH _ USE STRONG CRYPTO übergibt: Der Microsoft _ _ Schannel-Anbieter filtert bekannte schwache Verschlüsselungssammlungen heraus, wenn die Anwendung das FLAG SCH _ USE STRONG CRYPTO _ _ verwendet. In Windows 8.1 werden RC4-Verschlüsselungssammlungen herausgefiltert.
Wichtig
HTTP/2-Webdienste schlagen mit nicht HTTP/2-kompatiblen Verschlüsselungssammlungen fehl. Um sicherzustellen, dass Ihre Webdienste mit HTTP/2-Clients und -Browsern funktionieren, lesen Sie Bereitstellen einer benutzerdefinierten Verschlüsselungssammlungsreihenfolge.
Die FIPS-Konformität wurde komplexer, da die Spalte mit aktivierten FIPS-Modus in früheren Versionen dieser Tabelle durch elliptische Kurven irreführend wurde. Beispielsweise ist eine Verschlüsselungssammlung wie TLS _ ECDHE _ RSA _ WITH _ AES _ 128 _ CBC _ SHA256 nur FIPS-kompatibel, wenn NIST-elliptische Kurven verwendet werden. Informationen dazu, welche Kombinationen aus elliptischen Kurven und Verschlüsselungssammlungen im FIPS-Modus aktiviert werden, finden Sie im Abschnitt 3.3.1 der Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS-Implementierungen.
Windows 8.1 und Windows Server 2012 R2 werden durch Windows Update durch die angewendete Update-2919355 aktualisiert, die die neuen Verschlüsselungssammlungen hinzufügt und die Prioritätsreihenfolge ändert. Die folgenden Verschlüsselungssammlungen sind vom Microsoft Schannel-Anbieter standardmäßig in dieser Prioritätsreihenfolge aktiviert:
| Verschlüsselungssammlungszeichenfolge | Zulässig durch SCH _ USE _ STRONG _ CRYPTO | TLS/SSL-Protokollversionen |
|---|---|---|
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ RSA MIT _ _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ DHE _ RSA MIT _ _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ AES _ 256 _ GCM _ SHA384 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 128 _ GCM _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P256 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P384 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P256 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P384 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA256 |
Ja |
TLS 1.2 |
| TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA _ MIT _ 3DES _ EDE _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ MIT _ RC4 _ 128 _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ MIT _ RC4 _ 128 _ MD5 |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA MIT NULL _ _ _ SHA256 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
TLS 1.2 |
| TLS _ RSA MIT NULL _ _ _ SHA Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL _ CK _ RC4 _ 128 _ MIT _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Nein |
SSL 2.0 |
| SSL _ CK _ DES _ 192 _ EDE3 _ CBC MIT _ _ MD5 Wird nur verwendet, wenn die Anwendung explizit anforderungen. |
Ja |
SSL 2.0 |
Die folgenden Verschlüsselungssammlungen werden vom Microsoft Schannel-Anbieter unterstützt, aber standardmäßig nicht aktiviert:
| Verschlüsselungssammlungszeichenfolge | Zulässig durch SCH _ USE _ STRONG _ CRYPTO | TLS/SSL-Protokollversionen |
|---|---|---|
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P521 |
Ja |
TLS 1.2 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P521 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS _ RSA MIT DES _ _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT1024 _ MIT _ RC4 _ 56 _ SHA |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT1024 _ MIT DES _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA _ EXPORT _ WITH _ RC4 _ 40 _ MD5 |
Nein |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ RSA MIT NULL _ _ _ MD5 |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ DHE _ DSS _ MIT DES _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS _ DHE _ DSS _ EXPORT1024 _ MIT DES _ _ CBC _ SHA |
Ja |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL _ CK _ DES _ 64 _ CBC MIT _ _ MD5 |
Ja |
SSL 2.0 |
| SSL _ CK _ RC4 _ 128 _ EXPORT40 _ MIT _ MD5 |
Nein |
SSL 2.0 |
Um Verschlüsselungssammlungen hinzuzufügen, verwenden Sie die Gruppenrichtlinieneinstellung SSL Cipher Suite Order unter Computerkonfiguration > Administrative Vorlagen > Network > SSL Configuration Einstellungen, um eine Prioritätsliste für alle Verschlüsselungssammlungen zu konfigurieren, die Sie aktivieren möchten.