TLS-Verschlüsselungssammlungen in Windows 8.1

Verschlüsselungssammlungen können nur für TLS-Versionen ausgehandelt werden, die diese unterstützen. Die höchste unterstützte TLS-Version wird immer im TLS-Handshake bevorzugt. Beispielsweise kann SSL _ CK _ RC4 _ 128 _ WITH _ MD5 nur verwendet werden, wenn sowohl der Client als auch der Server TLS 1.2, 1.1 & 1.0 oder SSL 3.0 nicht unterstützen, da es nur mit SSL 2.0 unterstützt wird.

Die Verfügbarkeit von Verschlüsselungssammlungen sollte auf zwei Arten gesteuert werden:

  • Die Standardprioritätsreihenfolge wird überschrieben, wenn eine Prioritätsliste konfiguriert ist. Verschlüsselungssammlungen, die nicht in der Prioritätsliste enthalten sind, werden nicht verwendet.
  • Zulässig, wenn die Anwendung SCH _ USE STRONG CRYPTO übergibt: Der Microsoft _ _ Schannel-Anbieter filtert bekannte schwache Verschlüsselungssammlungen heraus, wenn die Anwendung das FLAG SCH _ USE STRONG CRYPTO _ _ verwendet. In Windows 8.1 werden RC4-Verschlüsselungssammlungen herausgefiltert.

Wichtig

HTTP/2-Webdienste schlagen mit nicht HTTP/2-kompatiblen Verschlüsselungssammlungen fehl. Um sicherzustellen, dass Ihre Webdienste mit HTTP/2-Clients und -Browsern funktionieren, lesen Sie Bereitstellen einer benutzerdefinierten Verschlüsselungssammlungsreihenfolge.

Die FIPS-Konformität wurde komplexer, da die Spalte mit aktivierten FIPS-Modus in früheren Versionen dieser Tabelle durch elliptische Kurven irreführend wurde. Beispielsweise ist eine Verschlüsselungssammlung wie TLS _ ECDHE _ RSA _ WITH _ AES _ 128 _ CBC _ SHA256 nur FIPS-kompatibel, wenn NIST-elliptische Kurven verwendet werden. Informationen dazu, welche Kombinationen aus elliptischen Kurven und Verschlüsselungssammlungen im FIPS-Modus aktiviert werden, finden Sie im Abschnitt 3.3.1 der Richtlinien für die Auswahl, Konfiguration und Verwendung von TLS-Implementierungen.

Windows 8.1 und Windows Server 2012 R2 werden durch Windows Update durch die angewendete Update-2919355 aktualisiert, die die neuen Verschlüsselungssammlungen hinzufügt und die Prioritätsreihenfolge ändert. Die folgenden Verschlüsselungssammlungen sind vom Microsoft Schannel-Anbieter standardmäßig in dieser Prioritätsreihenfolge aktiviert:

Verschlüsselungssammlungszeichenfolge Zulässig durch SCH _ USE _ STRONG _ CRYPTO TLS/SSL-Protokollversionen
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ RSA MIT _ _ AES _ 256 _ GCM _ SHA384
Ja
TLS 1.2
TLS _ DHE _ RSA MIT _ _ AES _ 128 _ GCM _ SHA256
Ja
TLS 1.2
TLS _ DHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA _ MIT _ AES _ 256 _ GCM _ SHA384
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 128 _ GCM _ SHA256
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ RSA _ MIT _ AES _ 256 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA _ MIT _ AES _ 128 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P256
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P384
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P256
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P384
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA256
Ja
TLS 1.2
TLS _ DHE _ DSS _ MIT _ AES _ 256 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ DSS _ MIT _ AES _ 128 _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA _ MIT _ 3DES _ EDE _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ DHE _ DSS _ MIT _ 3DES _ EDE _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ MIT _ RC4 _ 128 _ SHA
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ MIT _ RC4 _ 128 _ MD5
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA MIT NULL _ _ _ SHA256
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Ja
TLS 1.2
TLS _ RSA MIT NULL _ _ _ SHA
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL _ CK _ RC4 _ 128 _ MIT _ MD5
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Nein
SSL 2.0
SSL _ CK _ DES _ 192 _ EDE3 _ CBC MIT _ _ MD5
Wird nur verwendet, wenn die Anwendung explizit anforderungen.
Ja
SSL 2.0

Die folgenden Verschlüsselungssammlungen werden vom Microsoft Schannel-Anbieter unterstützt, aber standardmäßig nicht aktiviert:

Verschlüsselungssammlungszeichenfolge Zulässig durch SCH _ USE _ STRONG _ CRYPTO TLS/SSL-Protokollversionen
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC _ SHA384 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC _ SHA256 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ RSA MIT _ _ AES _ 256 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ RSA MIT _ _ AES _ 128 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ GCM _ SHA384 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ GCM _ SHA256 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC _ SHA384 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC _ SHA256 _ P521
Ja
TLS 1.2
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 256 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ ECDHE _ ECDSA _ MIT _ AES _ 128 _ CBC SHA _ _ P521
Ja
TLS 1.2, TLS 1.1, TLS 1.0
TLS _ RSA MIT DES _ _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ EXPORT1024 _ MIT _ RC4 _ 56 _ SHA
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ EXPORT1024 _ MIT DES _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA _ EXPORT _ WITH _ RC4 _ 40 _ MD5
Nein
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ RSA MIT NULL _ _ _ MD5
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ DHE _ DSS _ MIT DES _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS _ DHE _ DSS _ EXPORT1024 _ MIT DES _ _ CBC _ SHA
Ja
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL _ CK _ DES _ 64 _ CBC MIT _ _ MD5
Ja
SSL 2.0
SSL _ CK _ RC4 _ 128 _ EXPORT40 _ MIT _ MD5
Nein
SSL 2.0

Um Verschlüsselungssammlungen hinzuzufügen, verwenden Sie die Gruppenrichtlinieneinstellung SSL Cipher Suite Order unter Computerkonfiguration > Administrative Vorlagen > Network > SSL Configuration Einstellungen, um eine Prioritätsliste für alle Verschlüsselungssammlungen zu konfigurieren, die Sie aktivieren möchten.