Conjuntos de cifrado TLS en Windows 7
Los conjuntos de cifrado solo se pueden negociar para las versiones de TLS que las admiten. En el protocolo de enlace TLS siempre se prefiere la versión de TLS más alta admitida. Por ejemplo, SSL_CK_RC4_128_WITH_MD5 solo se puede usar cuando tanto el cliente como el servidor no admiten TLS 1.2, 1.1 & 1.0 o SSL 3.0, ya que solo se admite con SSL 2.0.
La disponibilidad de los conjuntos de cifrado debe controlarse de una de estas dos maneras:
- El orden de prioridad predeterminado se invalida cuando se configura una lista de prioridades. No se usarán los conjuntos de cifrado que no estén en la lista de prioridades.
- Permitido cuando la aplicación pasa SCH_USE_STRONG_CRYPTO: el proveedor de Microsoft Schannel filtrará los conjuntos de cifrado débiles conocidos cuando la aplicación use la marca de SCH_USE_STRONG_CRYPTO. En Windows 7, los conjuntos de cifrado RC4 se filtran.
Importante
Los servicios web HTTP/2 producen un error con conjuntos de cifrado no COMPATIBLEs con HTTP/2. Para asegurarse de que los servicios web funcionan con clientes y exploradores HTTP/2, consulte Implementación del orden del conjunto de cifrado personalizado.
El cumplimiento de FIPS se ha vuelto más complejo con la adición de curvas elípticas que hacen que el modo FIPS se ha habilitado columna en versiones anteriores de esta tabla engañoso. Por ejemplo, un conjunto de cifrado como TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 solo es compatible con FIPS cuando se usan curvas elípticas NIST. Para averiguar qué combinaciones de curvas elípticas y conjuntos de cifrado se habilitarán en el modo FIPS, consulte la sección 3.3.1 de Directrices para la selección, configuración y uso de implementaciones de TLS.
Windows 7, Windows 8 y Windows Server 2012 se actualizan mediante el Windows Update por la 3042058 actualización que cambia el orden de prioridad. Consulte 3042058 de asesoramiento de seguridad de Microsoft para obtener más información. Los siguientes conjuntos de cifrado están habilitados y, en este orden de prioridad, de forma predeterminada, el proveedor de Microsoft Schannel:
| Cadena del conjunto de cifrado | Permitido por SCH_USE_STRONG_CRYPTO | Versiones del protocolo TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
Yes |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Solo se usa cuando la aplicación solicita explícitamente. |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Solo se usa cuando la aplicación solicita explícitamente. |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Solo se usa cuando la aplicación solicita explícitamente. |
No |
SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Solo se usa cuando la aplicación solicita explícitamente. |
Yes |
SSL 2.0 |
Los siguientes conjuntos de cifrado son compatibles con el proveedor de Microsoft Schannel, pero no están habilitados de forma predeterminada:
| Cadena del conjunto de cifrado | Permitido por SCH_USE_STRONG_CRYPTO | Versiones del protocolo TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 |
Yes |
SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 |
No |
SSL 2.0 |
Para agregar conjuntos de cifrado, use la configuración de directiva de grupo Orden del conjunto de cifrado SSL en Configuración > del equipoConfiguración de ssl de red > de plantillas > administrativas para configurar una lista de prioridades para todos los conjuntos de cifrado que desee habilitar.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de