Windows 8の TLS 暗号スイート
暗号スイートは、それらをサポートする TLS バージョンに対してのみネゴシエートできます。 TLS ハンドシェイクでは、サポートされている最も上位の TLS バージョンが常に優先されます。 たとえば、クライアントとサーバーの両方が TLS 1.2、1.1 1.0、または SSL 3.0 & をサポートしていない場合にのみ、SSL 2.0 でのみサポートされるため、SSL_CK_RC4_128_WITH_MD5を使用できます。
暗号スイートの可用性は、次の 2 つの方法のいずれかで制御する必要があります。
- 優先度リストが構成されると、既定の優先順位がオーバーライドされます。 優先度一覧にない暗号スイートは使用されません。
- アプリケーションがSCH_USE_STRONG_CRYPTO渡されたときに許可: Microsoft Schannel プロバイダーは、アプリケーションで SCH_USE_STRONG_CRYPTO フラグを使用すると、既知の脆弱な暗号スイートを除外します。 Windows 8では、RC4 暗号スイートが除外されます。
重要
HTTP/2 Web サービスは、HTTP/2 と互換性のない暗号スイートで失敗します。 HTTP/2 クライアントとブラウザーで Web サービスが確実に機能するようにするには、「 カスタム暗号スイートの順序付けをデプロイする方法」を参照してください。
FIPS 準拠は、この表の以前のバージョンで FIPS モードが有効な列が誤解を招くような楕円曲線を追加することで、より複雑になっています。 たとえば、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 などの暗号スイートは、NIST 楕円曲線を使用する場合にのみ FIPS 準拠です。 FIPS モードで有効になる楕円曲線と暗号スイートの組み合わせを確認するには、 TLS 実装の選択、構成、使用に関するガイドラインのセクション 3.3.1 を参照してください。
Windows 7、Windows 8、およびWindows Server 2012は、優先順位を変更する3042058更新プログラムによってWindows Updateによって更新されます。 詳細については、「 Microsoft セキュリティ アドバイザリ 3042058 」を参照してください。 次の暗号スイートは、Microsoft Schannel プロバイダーによって既定で有効になっており、この優先順位で使用されます。
暗号スイート文字列 | SCH_USE_STRONG_CRYPTOで許可 | TLS/SSL プロトコルのバージョン |
---|---|---|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 |
はい |
TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 |
はい |
TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 |
はい |
TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 |
はい |
TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
はい |
TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
はい |
TLS 1.2 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
はい |
TLS 1.2 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
はい |
TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
はい |
TLS 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
はい |
TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_RSA_WITH_AES_128_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
はい |
TLS 1.2 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
はい |
TLS 1.2 |
TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_WITH_RC4_128_SHA |
いいえ |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_WITH_RC4_128_MD5 |
いいえ |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_WITH_NULL_SHA256 アプリケーションが明示的に要求する場合にのみ使用されます。 |
はい |
TLS 1.2 |
TLS_RSA_WITH_NULL_SHA アプリケーションが明示的に要求する場合にのみ使用されます。 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
SSL_CK_RC4_128_WITH_MD5 アプリケーションが明示的に要求する場合にのみ使用されます。 |
いいえ |
SSL 2.0 |
SSL_CK_DES_192_EDE3_CBC_WITH_MD5 アプリケーションが明示的に要求する場合にのみ使用されます。 |
はい |
SSL 2.0 |
次の暗号スイートは Microsoft Schannel プロバイダーでサポートされていますが、既定では有効になっていません。
暗号スイートの文字列 | SCH_USE_STRONG_CRYPTOで許可 | TLS/SSL プロトコルのバージョン |
---|---|---|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 |
はい |
TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 |
はい |
TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 |
はい |
TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0 |
TLS_RSA_WITH_DES_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
いいえ |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_EXPORT_WITH_RC4_40_MD5 |
いいえ |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_RSA_WITH_NULL_MD5 |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_DHE_DSS_WITH_DES_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA |
はい |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
SSL_CK_DES_64_CBC_WITH_MD5 |
はい |
SSL 2.0 |
SSL_CK_RC4_128_EXPORT40_WITH_MD5 |
いいえ |
SSL 2.0 |
暗号スイートを追加するには、[コンピューター構成管理テンプレート>] [ネットワーク > SSL 構成>設定] のグループ ポリシー設定 [SSL 暗号スイートの順序] を使用して、有効にするすべての暗号スイートの優先順位リストを構成します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示