Suites de chiffrement TLS dans Windows 10 v1709

[Certaines informations relatives aux produits précommercialisés peuvent être substantiellement modifiées avant leur commercialisation. Microsoft exclut toute garantie, expresse ou implicite, concernant les informations fournies ici.]

Les suites de chiffrement ne peuvent être négociées que pour les versions TLS qui les prennent en charge. La version TLS la plus élevée prise en charge est toujours préférée dans la négociation TLS.

La disponibilité des suites de chiffrement doit être contrôlée de deux manières :

  • L’ordre de priorité par défaut est remplacé lors de la configuration d’une liste de priorités. Les suites de chiffrement qui ne sont pas dans la liste de priorités ne seront pas utilisées.
  • Autorisé lorsque l’application transmet SCH _ utiliser _ un _ chiffrement fort : le fournisseur Microsoft Schannel filtre les suites de chiffrement faibles connues quand l’application utilise l' _ _ indicateur de chiffrement renforcé d’SCH use _ . Les suites de chiffrement RC4, DES, Export et NULL sont filtrées.

Important

Les services Web HTTP/2 échouent avec les suites de chiffrement compatibles non-HTTP/2. Pour garantir la fonction de vos services Web avec les clients et les navigateurs HTTP/2, consultez Guide pratique pour déployer le classement personnalisé des suites de chiffrement.

La conformité FIPS est devenue plus complexe avec l’ajout de courbes elliptiques, ce qui rend la colonne activée en mode FIPS dans les versions précédentes de ce tableau trompeur. Par exemple, une suite de chiffrement telle que TLS _ ECDHE _ RSA _ avec _ AES _ 128 _ CBC _ SHA256 est uniquement conforme aux normes FIPS lors de l’utilisation de courbes elliptiques NIST. Pour connaître les combinaisons de courbes elliptiques et de suites de chiffrement qui seront activées en mode FIPS, consultez la section 3.3.1 des instructions relatives à la sélection, à la configuration et à l’utilisation des implémentations TLS.

pour Windows 10, la version 1709, les suites de chiffrement suivantes sont activées et, par défaut, dans cet ordre de priorité, utilisez le fournisseur Microsoft Schannel :

Chaîne de la suite de chiffrement Autorisé par SCH _ utiliser _ un _ chiffrement renforcé Versions du protocole TLS/SSL
TLS _ ECDHE _ ECDSA _ avec _ AES _ 256 _ GCM _ SHA384
Oui
TLS 1.2
TLS _ ECDHE _ ECDSA _ avec _ AES _ 128 _ GCM _ SHA256
Oui
TLS 1.2
TLS _ ECDHE _ RSA _ avec _ AES _ 256 _ GCM _ SHA384
Oui
TLS 1.2
_ECDHE TLS _ RSA _ avec _ AES _ 128 _ GCM _ SHA256
Oui
TLS 1.2
TLS _ dhe _ RSA _ avec _ AES _ 256 _ GCM _ SHA384
Oui
TLS 1.2
_Dhe TLS _ RSA _ avec _ AES _ 128 _ GCM _ SHA256
Oui
TLS 1.2
TLS _ ECDHE _ ECDSA _ avec _ AES _ 256 _ CBC _ SHA384
Oui
TLS 1.2
TLS _ ECDHE _ ECDSA _ avec _ AES _ 128 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ ECDHE _ RSA _ avec _ AES _ 256 _ CBC _ SHA384
Oui
TLS 1.2
TLS _ ECDHE _ RSA _ avec _ AES _ 128 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ ECDHE _ ECDSA _ avec _ AES _ 256 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ ECDHE _ ECDSA _ avec _ AES _ 128 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ ECDHE _ RSA _ avec _ AES _ 256 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ ECDHE _ RSA _ avec _ AES _ 128 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ RSA _ avec _ AES _ 256 _ GCM _ SHA384
Oui
TLS 1.2
TLS _ RSA _ avec _ AES _ 128 _ GCM _ SHA256
Oui
TLS 1.2
TLS _ RSA _ avec _ AES _ 256 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ RSA _ avec _ AES _ 128 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ RSA _ avec _ AES _ 256 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ RSA _ avec _ AES _ 128 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ RSA _ avec _ 3DES _ Ede _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ RSA _ avec _ null _ SHA256
Utilisé uniquement lorsque l’application demande explicitement.
Non
TLS 1.2
TLS _ RSA _ avec _ _ SHA null
Utilisé uniquement lorsque l’application demande explicitement.
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0

Les suites de chiffrement suivantes sont prises en charge par le fournisseur Microsoft Schannel, mais ne sont pas activées par défaut :

Chaîne de la suite de chiffrement Autorisé par SCH _ utiliser _ un _ chiffrement renforcé Versions du protocole TLS/SSL
TLS _ dhe _ RSA _ avec _ AES _ 256 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ dhe _ RSA _ avec _ AES _ 128 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ dhe _ DSS _ avec _ AES _ 256 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ dhe _ DSS _ avec _ AES _ 128 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ dhe _ DSS _ avec _ AES _ 256 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ dhe _ DSS _ avec _ AES _ 128 _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0
TLS _ dhe _ DSS _ avec _ 3DES _ Ede _ CBC _ SHA
Oui
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ RSA _ avec _ RC4 _ 128 _ SHA
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ RSA _ avec _ RC4 _ 128 _ MD5
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ RSA _ avec _ des _ CBC _ SHA
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ dhe _ DSS _ avec _ des _ CBC _ SHA
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ dhe _ DSS _ EXPORT1024 _ avec _ des _ CBC _ SHA non tls 1,2, tls 1,1, TLS 1,0, SSL 3,0
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ RSA _ avec _ _ MD5 null
Utilisé uniquement lorsque l’application demande explicitement.
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ RSA _ EXPORT1024 _ avec _ RC4 _ 56 _ SHA
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
_Exportation RSA _ TLS _ avec _ RC4 _ 40 _ MD5
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0
TLS _ RSA _ EXPORT1024 _ avec _ des _ CBC _ SHA
Non
TLS 1,2, TLS 1,1, TLS 1,0, SSL 3,0

Les suites de chiffrement PSK suivantes sont activées et, par défaut, dans cet ordre de priorité, utilisez le fournisseur Microsoft Schannel :

Chaîne de la suite de chiffrement Autorisé par SCH _ utiliser _ un _ chiffrement renforcé Versions du protocole TLS/SSL
TLS _ PSK _ avec _ AES _ 256 _ GCM _ SHA384
Oui
TLS 1.2
TLS _ PSK _ avec _ AES _ 128 _ GCM _ SHA256
Oui
TLS 1.2
TLS _ PSK _ avec _ AES _ 256 _ CBC _ SHA384
Oui
TLS 1.2
TLS _ PSK _ avec _ AES _ 128 _ CBC _ SHA256
Oui
TLS 1.2
TLS _ PSK _ avec _ null _ SHA384
Non
TLS 1.2
TLS _ PSK _ avec _ null _ SHA256
Non
TLS 1.2

Notes

Aucune suite de chiffrement PSK n’est activée par défaut. Les applications doivent demander PSK avec l' _ utilisation de _ PRESHAREDKEY _ uniquement. Pour plus d’informations sur les indicateurs Schannel, consultez Schannel _ cred.

Pour ajouter des suites de chiffrement, déployez une stratégie de groupe ou utilisez les applets de commande TLS :

  • pour utiliser la stratégie de groupe, configurez l’ordre de la Suite de chiffrement ssl sous configuration ordinateur > Modèles d’administration > configuration réseau > ssl Paramètres avec la liste priorité pour toutes les suites de chiffrement que vous souhaitez activer.
  • Pour utiliser PowerShell, consultez appletsde commande TLS.

Notes

avant Windows 10, les chaînes de suite de chiffrement ont été ajoutées à la courbe elliptique pour déterminer la priorité de la courbe. Windows 10 prend en charge un paramètre d’ordre de priorité de courbe elliptique, si bien que le suffixe de courbe elliptique n’est pas obligatoire et est remplacé par le nouvel ordre de priorité de la courbe elliptique, le cas échéant, pour permettre aux organisations d’utiliser la stratégie de groupe pour configurer différentes versions de Windows avec les mêmes suites de chiffrement.