Suites de chiffrement TLS dans Windows 10 v1809

Les suites de chiffrement ne peuvent être négociées que pour les versions TLS qui les prennent en charge. La version TLS la plus élevée prise en charge est toujours préférée dans la négociation TLS.

La disponibilité des suites de chiffrement doit être contrôlée de l’une des deux manières suivantes :

  • L’ordre de priorité par défaut est remplacé lorsqu’une liste de priorités est configurée. Les suites de chiffrement qui ne se trouveront pas dans la liste des priorités ne seront pas utilisées.
  • Autorisé lorsque l’application passe SCH_USE_STRONG_CRYPTO : le fournisseur Microsoft Schannel filtre les suites de chiffrement faibles connues lorsque l’application utilise l’indicateur SCH_USE_STRONG_CRYPTO. Les suites de chiffrement RC4, DES, export et Null sont filtrées.

Important

Les services web HTTP/2 échouent avec les suites de chiffrement non compatibles HTTP/2. Pour vous assurer que vos services web fonctionnent avec des clients et navigateurs HTTP/2, consultez Comment déployer un classement de suite de chiffrement personnalisé.

 

La conformité FIPS est devenue plus complexe avec l’ajout de courbes elliptiques rendant la colonne activée en mode FIPS dans les versions précédentes de cette table trompeuse. Par exemple, une suite de chiffrement telle que TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 est uniquement conforme à FIPS lors de l’utilisation de courbes elliptiques NIST. Pour savoir quelles combinaisons de courbes elliptiques et de suites de chiffrement seront activées en mode FIPS, consultez la section 3.3.1 des instructions pour la sélection, la configuration et l’utilisation des implémentations TLS.

Pour Windows 10, version 1809, les suites de chiffrement suivantes sont activées et dans cet ordre de priorité par défaut à l’aide du fournisseur Microsoft Schannel :

Chaîne de suite de chiffrement Autorisé par SCH_USE_STRONG_CRYPTO Versions du protocole TLS/SSL
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Oui
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Oui
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Oui
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Oui
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Oui
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Oui
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Oui
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
Oui
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Oui
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Oui
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_256_GCM_SHA384
Oui
TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256
Oui
TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
Oui
TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
Oui
TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_128_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_NULL_SHA256
Utilisé uniquement lorsque l’application demande explicitement.
Non
TLS 1.2
TLS_RSA_WITH_NULL_SHA
Utilisé uniquement lorsque l’application demande explicitement.
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0

 

Les suites de chiffrement suivantes sont prises en charge par le fournisseur Microsoft Schannel, mais pas activées par défaut :

Chaîne de suite de chiffrement Autorisé par SCH_USE_STRONG_CRYPTO Versions du protocole TLS/SSL
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Oui
TLS 1.2
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
Oui
TLS 1.2
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Oui
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_SHA
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_MD5
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_DES_CBC_SHA
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_WITH_DES_CBC_SHA
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_NULL_MD5
Utilisé uniquement lorsque l’application demande explicitement.
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT_WITH_RC4_40_MD5
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Non
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0

 

Les suites de chiffrement PSK suivantes sont activées et dans cet ordre de priorité par défaut à l’aide du fournisseur Microsoft Schannel :

Chaîne de suite de chiffrement Autorisé par SCH_USE_STRONG_CRYPTO Versions du protocole TLS/SSL
TLS_PSK_WITH_AES_256_GCM_SHA384
Oui
TLS 1.2
TLS_PSK_WITH_AES_128_GCM_SHA256
Oui
TLS 1.2
TLS_PSK_WITH_AES_256_CBC_SHA384
Oui
TLS 1.2
TLS_PSK_WITH_AES_128_CBC_SHA256
Oui
TLS 1.2
TLS_PSK_WITH_NULL_SHA384
Non
TLS 1.2
TLS_PSK_WITH_NULL_SHA256
Non
TLS 1.2

 

Notes

Aucune suite de chiffrement PSK n’est activée par défaut. Les applications doivent demander PSK à l’aide de SCH_USE_PRESHAREDKEY_ONLY. Pour plus d’informations sur les indicateurs Schannel, consultez SCHANNEL_CRED.

 

Pour ajouter des suites de chiffrement, déployez une stratégie de groupe ou utilisez les applets de commande TLS :

  • Pour utiliser la stratégie de groupe, configurez l’ordre de suite de chiffrement SSL sous Configuration SSL réseau > des modèles > d’administration de configuration > ordinateur Paramètres avec la liste de priorité pour toutes les suites de chiffrement que vous souhaitez activer.
  • Pour utiliser PowerShell, consultez les applets de commande TLS.

Notes

Avant Windows 10, les chaînes de suite de chiffrement ont été ajoutées avec la courbe elliptique pour déterminer la priorité de la courbe. Windows 10 prend en charge un paramètre d’ordre de priorité de courbe elliptique afin que le suffixe de courbe elliptique ne soit pas obligatoire et soit remplacé par le nouvel ordre de priorité de courbe elliptique, lorsqu’il est fourni, pour permettre aux organisations d’utiliser la stratégie de groupe pour configurer différentes versions de Windows avec les mêmes suites de chiffrement.