Configurações de registro de TLS (segurança de camada de transporte)Transport Layer Security (TLS) registry settings

Aplica-se a: Windows Server (Canal Semestral), Windows Server 2019, Windows Server 2016, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows 10

Este tópico de referência para o profissional de ti contém informações de configuração de registro com suporte para a implementação do Windows do protocolo TLS e o protocolo protocolo SSL (SSL) por meio do suporte de segurança Schannel Provedor (SSP).This reference topic for the IT professional contains supported registry setting information for the Windows implementation of the Transport Layer Security (TLS) protocol and the Secure Sockets Layer (SSL) protocol through the Schannel Security Support Provider (SSP). As subchaves do registro e as entradas abordadas neste tópico ajudam você a administrar e solucionar problemas do SSP do Schannel, especificamente os protocolos TLS e SSL.The registry subkeys and entries covered in this topic help you administer and troubleshoot the Schannel SSP, specifically the TLS and SSL protocols.

Cuidado

Essas informações são fornecidas como uma referência a ser usada quando você estiver solucionando problemas ou verificando se as configurações necessárias estão aplicadas.This information is provided as a reference to use when you are troubleshooting or verifying that the required settings are applied. É recomendável não editar diretamente o Registro, a menos que não haja outra alternativa.We recommend that you do not directly edit the registry unless there is no other alternative. Modificações no Registro não são validadas pelo editor de Registro nem pelo sistema operacional Windows antes de serem aplicadas.Modifications to the registry are not validated by the Registry Editor or by the Windows operating system before they are applied. Como resultado, valores incorretos podem ser armazenados, e isso pode resultar em erros irrecuperáveis no sistema.As a result, incorrect values can be stored, and this can result in unrecoverable errors in the system. Quando possível, em vez de editar o Registro diretamente, use a Política de Grupo ou outras ferramentas do Windows, como o MMC (Console de Gerenciamento Microsoft) para realizar tarefas.When possible, instead of editing the registry directly, use Group Policy or other Windows tools such as the Microsoft Management Console (MMC) to accomplish tasks. Se você deve editar o Registro, tenha muito cuidado.If you must edit the registry, use extreme caution.

CertificateMappingMethodsCertificateMappingMethods

Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. O valor padrão é que todos os quatro métodos de mapeamento de certificado listados abaixo têm suporte.The default value is that all four certificate mapping methods, listed below, are supported.

Quando um aplicativo para servidores requer autenticação de cliente, o Schannel automaticamente tenta mapear o certificado fornecido pelo computador cliente para uma conta de usuário.When a server application requires client authentication, Schannel automatically attempts to map the certificate that is supplied by the client computer to a user account. Você pode autenticar os usuários que se conectam com um certificado de cliente, criando mapeamentos que se relacionam com as informações de certificado de uma conta de usuário do Windows.You can authenticate users who sign in with a client certificate by creating mappings, which relate the certificate information to a Windows user account. Depois de criar e habilitar um mapeamento de certificado, sempre que um cliente apresentar um certificado, o aplicativo para servidores associará automaticamente esse usuário à conta de usuário do Windows apropriada.After you create and enable a certificate mapping, each time a client presents a client certificate, your server application automatically associates that user with the appropriate Windows user account.

Na maioria dos casos, um certificado é mapeado para uma conta de usuário em uma de duas maneiras:In most cases, a certificate is mapped to a user account in one of two ways:

  • Um único certificado é mapeado para uma única conta de usuário (mapeamento um a um).A single certificate is mapped to a single user account (one-to-one mapping).
  • Vários certificados são mapeados para várias contas de usuário (mapeamento muitos para um).Multiple certificates are mapped to one user account (many-to-one mapping).

Por padrão, o provedor Schannel usará os seguintes quatro métodos de mapeamento de certificados, listados em ordem de preferência:By default, the Schannel provider will use the following four certificate mapping methods, listed in order of preference:

  1. Mapeamento de certificado Kerberos S4U(Service-for-User)Kerberos service-for-user (S4U) certificate mapping
  2. Mapeamento de nome UPNUser principal name mapping
  3. Mapeamento um a um (também conhecido como mapeamento de assunto/emissor)One-to-one mapping (also known as subject/issuer mapping)
  4. Mapeamento muitos-para-umMany-to-one mapping

Versões aplicáveis: Conforme indicado na lista Aplica-se a no começo deste tópico.Applicable versions: As designated in the Applies To list that is at the beginning of this topic.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

CriptografiasCiphers

As codificações TLS/SSL devem ser controladas com a configuração da ordem do conjunto de codificação.TLS/SSL ciphers should be controlled by configuring the cipher suite order. Para obter detalhes, consulte Configuring TLS Cipher Suite Order.For details, see Configuring TLS Cipher Suite Order.

Para obter informações sobre a ordem dos conjuntos de codificação padrão que são usados pelo Schannel SSP, consulte pacotes de codificação em TLS/SSL (Schannel SSP).For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

Conjuntos de criptografiaCipherSuites

Configurar conjuntos de criptografia TLS/SSL deve ser feito usando a política de grupo, o MDM ou o PowerShell, consulte Configurando a ordem do conjunto de criptografia TLS para obter detalhes.Configuring TLS/SSL cipher suites should be done using group policy, MDM or PowerShell, see Configuring TLS Cipher Suite Order for details.

Para obter informações sobre a ordem dos conjuntos de codificação padrão que são usados pelo Schannel SSP, consulte pacotes de codificação em TLS/SSL (Schannel SSP).For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

ClientCacheTimeClientCacheTime

Essa entrada controla a quantidade de tempo que o sistema operacional leva em milissegundos para finalizar entradas de cache do lado do cliente.This entry controls the amount of time that the operating system takes in milliseconds to expire client-side cache entries. Um valor 0 desativa o cache de conexão segura.A value of 0 turns off secure-connection caching. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default.

Na primeira vez que um cliente se conecta a um servidor por meio do SSP Schannel, um handshake de TLS/SSL completo é executado.The first time a client connects to a server through the Schannel SSP, a full TLS/SSL handshake is performed. Quando isso é concluído, o segredo mestre, o conjunto de criptografias e os certificados são armazenados no cache da sessão, no respectivo cliente e servidor.When this is complete, the master secret, cipher suite, and certificates are stored in the session cache on the respective client and server.

A partir do Windows Server 2008 e do Windows Vista, o tempo de cache do cliente padrão é de 10 horas.Beginning with Windows Server 2008 and Windows Vista, the default client cache time is 10 hours.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Tempo de cache de cliente padrãoDefault client cache time

EnableOcspStaplingForSniEnableOcspStaplingForSni

O grampeamento do protocolo OCSP permite que um servidor Web, como o Serviços de Informações da Internet (IIS), forneça o status de revogação atual de um certificado de servidor ao enviar o certificado do servidor a um cliente durante o handshake de TLS.Online Certificate Status Protocol (OCSP) stapling enables a web server, such as Internet Information Services (IIS), to provide the current revocation status of a server certificate when it sends the server certificate to a client during the TLS handshake. Esse recurso reduz a carga em servidores OCSP porque o servidor Web pode armazenar em cache o status OCSP atual do certificado do servidor e enviá-lo a vários clientes Web.This feature reduces the load on OCSP servers because the web server can cache the current OCSP status of the server certificate and send it to multiple web clients. Sem esse recurso, cada cliente Web tentaria recuperar o status OCSP atual do certificado do servidor do servidor OCSP.Without this feature, each web client would try to retrieve the current OCSP status of the server certificate from the OCSP server. Isso gerará uma carga alta nesse servidor OCSP.This would generate a high load on that OCSP server.

Além do IIS, os serviços da Web sobre http. sys também podem se beneficiar dessa configuração, incluindo Serviços de Federação do Active Directory (AD FS) (AD FS) e o WAP (proxy de aplicativo Web).In addition to IIS, web services over http.sys can also benefit from this setting, including Active Directory Federation Services (AD FS) and Web Application Proxy (WAP).

Por padrão, o suporte a OCSP está habilitado para sites do IIS que têm uma associação segura (SSL/TLS) simples.By default, OCSP support is enabled for IIS websites that have a simple secure (SSL/TLS) binding. No entanto, esse suporte não será habilitado por padrão se o site do IIS estiver usando um ou ambos os seguintes tipos de associações seguras (SSL/TLS):However, this support is not enabled by default if the IIS website is using either or both of the following types of secure (SSL/TLS) bindings:

  • Exigir Indicação de Nome de ServidorRequire Server Name Indication
  • Usar repositório de certificados centralizadosUse Centralized Certificate Store

Nesse caso, a resposta de saudação do servidor durante o handshake TLS não incluirá um status grampeado do OCSP por padrão.In this case, the server hello response during the TLS handshake won't include an OCSP stapled status by default. Esse comportamento melhora o desempenho: A implementação de grampeamento do Windows OCSP é dimensionada para centenas de certificados de servidor.This behavior improves performance: The Windows OCSP stapling implementation scales to hundreds of server certificates. Como o SNI e o CCS permitem que o IIS seja dimensionado para milhares de sites que potencialmente têm milhares de certificados de servidor, a definição desse comportamento como habilitado por padrão pode causar problemas de desempenho.Because SNI and CCS enable IIS to scale to thousands of websites that potentially have thousands of server certificates, setting this behavior to be enabled by default may cause performance issues.

Versões aplicáveis: Todas as versões que começam com o Windows Server 2012 e o Windows 8.Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

Caminho do registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]Registry path: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

Adicione a seguinte chave:Add the following key:

"EnableOcspStaplingForSni" = DWORD: 00000001"EnableOcspStaplingForSni"=dword:00000001

Para desabilitar, defina o valor DWORD como 0:To disable, set the DWORD value to 0:

"EnableOcspStaplingForSni" = DWORD: 00000000"EnableOcspStaplingForSni"=dword:00000000

Observação

A habilitação dessa chave do registro tem um impacto potencial no desempenho.Enabling this registry key has a potential performance impact.

FIPSAlgorithmPolicyFIPSAlgorithmPolicy

Esta entrada controla a conformidade do padrão FIPS.This entry controls Federal Information Processing (FIPS) compliance. O padrão é 0.The default is 0.

Versões aplicáveis: Todas as versões que começam com o Windows Server 2012 e o Windows 8.Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\LSARegistry path: HKLM SYSTEM\CurrentControlSet\Control\LSA

Conjuntos de codificação FIPS do Windows Server: Consulte pacotes de criptografia e protocolos com suporte no SSP do Schannel.Windows Server FIPS cipher suites: See Supported Cipher Suites and Protocols in the Schannel SSP.

HashesHashes

Os algoritmos de hash TLS/SSL devem ser controlados pela configuração da ordem do conjunto de codificação.TLS/SSL hash algorithms should be controlled by configuring the cipher suite order. Consulte Configurando a ordem do conjunto de codificação TLS para obter detalhes.See Configuring TLS Cipher Suite Order for details.

IssuerCacheSizeIssuerCacheSize

Essa entrada controla o tamanho do cache emissor e é usada com o mapeamento do emissor.This entry controls the size of the issuer cache, and it is used with issuer mapping. O SSP do Schannel tenta mapear todos os emissores na cadeia de certificados do cliente — não apenas o emissor direto do certificado do cliente.The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. Quando os emissores não são mapeados para uma conta, que é o caso típico, o servidor pode tentar mapear o mesmo nome do emissor repetidamente, centenas de vezes por segundo.When the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

Para evitar isso, o servidor tem um cache negativo, portanto, se um nome de emissor não é mapeado para uma conta, ele é adicionado ao cache e o SSP Schannel não tentará mapear o nome do emissor novamente, até que a entrada de cache expira.To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. Essa entrada de Registro especifica o tamanho do cache.This registry entry specifies the cache size. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. O valor padrão é 100.The default value is 100.

Versões aplicáveis: Todas as versões que começam com o Windows Server 2008 e o Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

IssuerCacheTimeIssuerCacheTime

Essa entrada controla a duração do intervalo de tempo limite do cache em milissegundos.This entry controls the length of the cache timeout interval in milliseconds. O SSP do Schannel tenta mapear todos os emissores na cadeia de certificados do cliente — não apenas o emissor direto do certificado do cliente.The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. Caso os emissores não sejam mapeados para uma conta, que é o caso típico, o servidor pode tentar mapear o mesmo nome do emissor repetidamente, centenas de vezes por segundo.In the case where the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

Para evitar isso, o servidor tem um cache negativo, portanto, se um nome de emissor não é mapeado para uma conta, ele é adicionado ao cache e o SSP Schannel não tentará mapear o nome do emissor novamente, até que a entrada de cache expira.To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. Esse cache é mantido por motivos de desempenho, para que o sistema não continue tentando mapear os mesmos emissores.This cache is kept for performance reasons, so that the system does not continue trying to map the same issuers. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. O valor padrão é 10 minutos.The default value is 10 minutes.

Versões aplicáveis: Todas as versões que começam com o Windows Server 2008 e o Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

KeyExchangeAlgorithm-tamanhos de chave RSA de clienteKeyExchangeAlgorithm - Client RSA key sizes

Essa entrada controla os tamanhos de chave RSA do cliente.This entry controls the client RSA key sizes.

O uso de algoritmos de troca de chaves deve ser controlado pela configuração da ordem do conjunto de codificação.Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Adicionado no Windows 10, versão 1507 e Windows Server 2016.Added in Windows 10, version 1507 and Windows Server 2016.

Caminho do registro: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCSRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS

Para especificar um intervalo mínimo com suporte de comprimento de bit de chave RSA para o cliente TLS, crie uma entrada ClientMinKeyBitLength .To specify a minimum supported range of RSA key bit length for the TLS client, create a ClientMinKeyBitLength entry. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, 1024 bits será o mínimo.If not configured, 1024 bits will be the minimum.

Para especificar um intervalo máximo com suporte de comprimento de bit de chave RSA para o cliente TLS, crie uma entrada ClientMaxKeyBitLength .To specify a maximum supported range of RSA key bit length for the TLS client, create a ClientMaxKeyBitLength entry. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, um máximo não será imposto.If not configured, then a maximum is not enforced.

Tamanhos de chave KeyExchangeAlgorithm-Diffie-HellmanKeyExchangeAlgorithm - Diffie-Hellman key sizes

Essa entrada controla os tamanhos de chave Diffie-Hellman.This entry controls the Diffie-Hellman key sizes.

O uso de algoritmos de troca de chaves deve ser controlado pela configuração da ordem do conjunto de codificação.Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Adicionado no Windows 10, versão 1507 e Windows Server 2016.Added in Windows 10, version 1507 and Windows Server 2016.

Caminho do registro: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-HellmanRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

Para especificar um intervalo mínimo com suporte de comprimento de bit de chave Diffie-Helman para o cliente TLS, crie uma entrada ClientMinKeyBitLength .To specify a minimum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMinKeyBitLength entry. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, 1024 bits será o mínimo.If not configured, 1024 bits will be the minimum.

Para especificar um intervalo máximo com suporte de comprimento de bit de chave Diffie-Helman para o cliente TLS, crie uma entrada ClientMaxKeyBitLength .To specify a maximum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMaxKeyBitLength entry. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, um máximo não será imposto.If not configured, then a maximum is not enforced.

Para especificar o comprimento de bit de chave Diffie-Helman para o padrão do servidor TLS, crie uma entrada ServerMinKeyBitLength .To specify the Diffie-Helman key bit length for the TLS server default, create a ServerMinKeyBitLength entry. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, 2048 bits será o padrão.If not configured, 2048 bits will be the default.

MaximumCacheSizeMaximumCacheSize

Essa entrada controla o número máximo de elementos de cache.This entry controls the maximum number of cache elements. A configuração de MaximumCacheSize como 0 desabilita o cache de sessão do servidor e impede a reconexão.Setting MaximumCacheSize to 0 disables the server-side session cache and prevents reconnection. O aumento de MaximumCacheSize acima dos valores padrão faz com que o Lsass.exe consuma memória adicional.Increasing MaximumCacheSize above the default values causes Lsass.exe to consume additional memory. Cada elemento de cache de sessão geralmente requer de 2 a 4 KB de memória.Each session-cache element typically requires 2 to 4 KB of memory. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. O valor padrão é 20.000 elementos.The default value is 20,000 elements.

Versões aplicáveis: Todas as versões que começam com o Windows Server 2008 e o Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Mensagens – análise de fragmentoMessaging – fragment parsing


Essa entrada controla o tamanho máximo permitido de mensagens de handshake de TLS fragmentadas que serão aceitas.This entry controls the maximum allowed size of fragmented TLS handshake messages that will be accepted. Mensagens maiores que o tamanho permitido não serão aceitas e o handshake TLS falhará.Messages larger than the allowed size will not be accepted and the TLS handshake will fail. Essas entradas não existem no registro por padrão.These entries do not exist in the registry by default.

Quando você define o valor como 0x0, as mensagens fragmentadas não são processadas e farão com que o handshake TLS falhe.When you set the value to 0x0, fragmented messages are not processed and will cause the TLS handshake to fail. Isso torna os clientes ou servidores TLS no computador atual não compatíveis com as RFCs do TLS.This makes TLS clients or servers on the current machine non-compliant with the TLS RFCs.

O tamanho máximo permitido pode ser aumentado para até 2 ^ 24-1 bytes.The maximum allowed size can be increased up to 2^24-1 bytes. Permitir que um cliente ou servidor Leia e armazene grandes quantidades de dados não verificados da rede não é uma boa ideia e consumirá memória adicional para cada contexto de segurança.Allowing a client or server to read and store large amounts of unverified data from the network is not a good idea and will consume additional memory for each security context.

Adicionado ao Windows 7 e ao Windows Server 2008 R2.Added in Windows 7 and Windows Server 2008 R2. Uma atualização que habilita o Internet Explorer no Windows XP, no Windows Vista ou no Windows Server 2008 para analisar as mensagens de handshake TLS/SSL fragmentadas está disponível.An update that enables Internet Explorer in Windows XP, in Windows Vista, or in Windows Server 2008 to parse fragmented TLS/SSL handshake messages is available.

Caminho do registro: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\MessagingRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging

Para especificar um tamanho máximo permitido de mensagens de handshake de TLS fragmentadas que o cliente TLS aceitará, crie uma entrada MessageLimitClient .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS client will accept, create a MessageLimitClient entry. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, o valor padrão será 0x8000 bytes.If not configured, the default value will be 0x8000 bytes.

Para especificar um tamanho máximo permitido de mensagens de handshake de TLS fragmentadas que o servidor TLS aceitará quando não houver autenticação de cliente, crie uma entrada MessageLimitServer .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is no client authentication, create a MessageLimitServer entry. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, o valor padrão será 0x4000 bytes.If not configured, the default value will be 0x4000 bytes.

Para especificar um tamanho máximo permitido de mensagens de handshake de TLS fragmentadas que o servidor TLS aceitará quando houver autenticação de cliente, crie uma entrada MessageLimitServerClientAuth .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is client authentication, create a MessageLimitServerClientAuth entry. Depois de criar a entrada, altere o valor DWORD para o comprimento de bit desejado.After you have created the entry, change the DWORD value to the desired bit length. Se não estiver configurado, o valor padrão será 0x8000 bytes.If not configured, the default value will be 0x8000 bytes.

SendTrustedIssuerListSendTrustedIssuerList

Essa entrada controla o sinalizador que é usado quando a lista de emissores confiáveis é enviada.This entry controls the flag that is used when the list of trusted issuers is sent. No caso de servidores que confiam centenas de autoridades de certificação para autenticação de cliente, há muitos emissores de servidor capaz de enviá-los todos para o computador cliente ao solicitar a autenticação do cliente.In the case of servers that trust hundreds of certification authorities for client authentication, there are too many issuers for the server to be able to send them all to the client computer when requesting client authentication. Nessa situação, essa chave do Registro pode ser definida e, em vez de enviar uma lista parcial, o SSP Schannel não enviar nenhuma lista para o cliente.In this situation, this registry key can be set, and instead of sending a partial list, the Schannel SSP will not send any list to the client.

O não envio de uma lista de emissores confiáveis pode afetar o que o cliente envia quando lhe é solicitado um certificado de cliente.Not sending a list of trusted issuers might impact what the client sends when it is asked for a client certificate. Por exemplo, quando o Internet Explorer recebe uma solicitação de autenticação de cliente, ele exibe apenas os certificados de cliente que encadeiam até uma das autoridades de certificação enviadas pelo servidor.For example, when Internet Explorer receives a request for client authentication, it only displays the client certificates that chain up to one of the certification authorities that is sent by the server. Se o servidor não tiver enviado a uma lista, o Internet Explorer exibirá todos os certificados de cliente que estão instalados no cliente.If the server did not send a list, Internet Explorer displays all of the client certificates that are installed on the client.

Esse comportamento pode ser desejável.This behavior might be desirable. Por exemplo, quando os ambientes PKI incluem certificados cruzados, os certificados de cliente e servidor não terão a mesma AC raiz; Portanto, o Internet Explorer não pode escolher um certificado que se encadeia com uma das CAs do servidor.For example, when PKI environments include cross certificates, the client and server certificates will not have the same root CA; therefore, Internet Explorer cannot chose a certificate that chains up to one of the server's CAs. Ao configurar o servidor para não enviar uma lista de emissores confiáveis, o Internet Explorer enviará todos os seus certificados.By configuring the server to not send a trusted issuer list, Internet Explorer will send all its certificates.

Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default.

Comportamento padrão de enviar lista de emissores confiáveisDefault Send Trusted Issuer List behavior

Versão do WindowsWindows version TimeTime
Windows Server 2012 e Windows 8 e posteriorWindows Server 2012 and Windows 8 and later FALSEFALSE
Windows Server 2008 R2 e Windows 7 e anteriorWindows Server 2008 R2 and Windows 7 and earlier TRUETRUE

Versões aplicáveis: Todas as versões que começam com o Windows Server 2008 e o Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ServerCacheTimeServerCacheTime

Essa entrada controla a quantidade de tempo que o sistema operacional leva em milissegundos para finalizar entradas de cache do lado do servidor.This entry controls the amount of time in milliseconds that the operating system takes to expire server-side cache entries. Um valor de 0 desabilita o cache de sessão do lado do servidor e impede a reconexão.A value of 0 disables the server-side session cache and prevents reconnection. O aumento de ServerCacheTime acima dos valores padrão faz com que o Lsass.exe consuma memória adicional.Increasing ServerCacheTime above the default values causes Lsass.exe to consume additional memory. Cada elemento de cache de sessão geralmente requer de 2 a 4 KB de memória.Each session cache element typically requires 2 to 4 KB of memory. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default.

Versões aplicáveis: Todas as versões que começam com o Windows Server 2008 e o Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Tempo de cache do servidor padrão: 10 horasDefault server cache time: 10 hours

SSL 2.0SSL 2.0

Essa subchave controla o uso do SSL 2,0.This subkey controls the use of SSL 2.0.

A partir do Windows 10, versão 1607 e Windows Server 2016, o SSL 2,0 foi removido e não tem mais suporte.Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 2.0 has been removed and is no longer supported. Para obter as configurações padrão de SSL 2,0, consulte protocolos no TLS/SSL (Schannel SSP).For a SSL 2.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo SSL 2,0, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the SSL 2.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves SSL 2,0SSL 2.0 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do SSL 2,0 no cliente SSL.Controls the use of SSL 2.0 on the SSL client.
ServidorServer Controla o uso do SSL 2,0 no servidor SSL.Controls the use of SSL 2.0 on the SSL server.

Para desabilitar o SSL 2,0 para cliente ou servidor, altere o valor de DWORD para 0.To disable SSL 2.0 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do SSL 2,0, ele será negado.If an SSPI app requests to use SSL 2.0, it will be denied.

Para desabilitar o SSL 2,0 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable SSL 2.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI explicitamente solicitações para usar SSL 2,0, ele poderá ser negociado.If an SSPI app explcitly requests to use SSL 2.0, it may be negotiated.

O exemplo a seguir mostra o SSL 2,0 desabilitado no registro:The following example shows SSL 2.0 disabled in the registry:

SSL 2,0 desabilitado

SSL 3.0SSL 3.0

Essa subchave controla o uso do SSL 3,0.This subkey controls the use of SSL 3.0.

A partir do Windows 10, versão 1607 e Windows Server 2016, o SSL 3,0 foi desabilitado por padrão.Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 3.0 has been disabled by default. Para configurações padrão de SSL 3,0, consulte protocolos no TLS/SSL (Schannel SSP).For SSL 3.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo SSL 3,0, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the SSL 3.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table.
Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves SSL 3,0SSL 3.0 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do SSL 3,0 no cliente SSL.Controls the use of SSL 3.0 on the SSL client.
ServidorServer Controla o uso do SSL 3,0 no servidor SSL.Controls the use of SSL 3.0 on the SSL server.

Para desabilitar o SSL 3,0 para cliente ou servidor, altere o valor de DWORD para 0.To disable SSL 3.0 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do SSL 3,0, ele será negado.If an SSPI app requests to use SSL 3.0, it will be denied.

Para desabilitar o SSL 3,0 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable SSL 3.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI solicitar explicitamente o uso do SSL 3,0, ele poderá ser negociado.If an SSPI app explicitly requests to use SSL 3.0, it may be negotiated.

O exemplo a seguir mostra o SSL 3,0 desabilitado no registro:The following example shows SSL 3.0 disabled in the registry:

SSL 3,0 desabilitado

TLS 1.0TLS 1.0

Essa subchave controla o uso de TLS 1,0.This subkey controls the use of TLS 1.0.

Para configurações padrão do TLS 1,0, consulte protocolos no TLS/SSL (Schannel SSP).For TLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo TLS 1,0, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the TLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves TLS 1,0TLS 1.0 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do TLS 1,0 no cliente TLS.Controls the use of TLS 1.0 on the TLS client.
ServidorServer Controla o uso do TLS 1,0 no servidor TLS.Controls the use of TLS 1.0 on the TLS server.

Para desabilitar o TLS 1,0 para cliente ou servidor, altere o valor de DWORD para 0.To disable TLS 1.0 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do TLS 1,0, ele será negado.If an SSPI app requests to use TLS 1.0, it will be denied.

Para desabilitar o TLS 1,0 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable TLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI solicitar explicitamente o uso do TLS 1,0, ele poderá ser negociado.If an SSPI app explicitly requests to use TLS 1.0, it may be negotiated.

O exemplo a seguir mostra o TLS 1,0 desabilitado no registro:The following example shows TLS 1.0 disabled in the registry:

TLS 1,0 desabilitado

TLS 1.1TLS 1.1

Essa subchave controla o uso de TLS 1,1.This subkey controls the use of TLS 1.1.

Para configurações padrão do TLS 1,1, consulte protocolos no TLS/SSL (Schannel SSP).For TLS 1.1 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo TLS 1,1, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the TLS 1.1 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves TLS 1,1TLS 1.1 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do TLS 1,1 no cliente TLS.Controls the use of TLS 1.1 on the TLS client.
ServidorServer Controla o uso do TLS 1,1 no servidor TLS.Controls the use of TLS 1.1 on the TLS server.

Para desabilitar o TLS 1,1 para cliente ou servidor, altere o valor de DWORD para 0.To disable TLS 1.1 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do TLS 1,1, ele será negado.If an SSPI app requests to use TLS 1.1, it will be denied.

Para desabilitar o TLS 1,1 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable TLS 1.1 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI solicitar explicitamente o uso do TLS 1,1, ele poderá ser negociado.If an SSPI app explicitly requests to use TLS 1.1, it may be negotiated.

O exemplo a seguir mostra o TLS 1,1 desabilitado no registro:The following example shows TLS 1.1 disabled in the registry:

TLS 1,1 desabilitado

TLS 1.2TLS 1.2

Essa subchave controla o uso de TLS 1,2.This subkey controls the use of TLS 1.2.

Para configurações padrão do TLS 1,2, consulte protocolos no TLS/SSL (Schannel SSP).For TLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo TLS 1,2, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the TLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves TLS 1,2TLS 1.2 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do TLS 1,2 no cliente TLS.Controls the use of TLS 1.2 on the TLS client.
ServidorServer Controla o uso do TLS 1,2 no servidor TLS.Controls the use of TLS 1.2 on the TLS server.

Para desabilitar o TLS 1,2 para cliente ou servidor, altere o valor de DWORD para 0.To disable TLS 1.2 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do TLS 1,2, ele será negado.If an SSPI app requests to use TLS 1.2, it will be denied.

Para desabilitar o TLS 1,2 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable TLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI solicitar explicitamente o uso do TLS 1,2, ele poderá ser negociado.If an SSPI app explicitly requests to use TLS 1.2, it may be negotiated.

O exemplo a seguir mostra o TLS 1,2 desabilitado no registro:The following example shows TLS 1.2 disabled in the registry:

TLS 1,2 desabilitado

DTLS 1.0DTLS 1.0

Essa subchave controla o uso do DTLS 1,0.This subkey controls the use of DTLS 1.0.

Para configurações padrão do DTLS 1,0, consulte protocolos no TLS/SSL (Schannel SSP).For DTLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo DTLS 1,0, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the DTLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves do DTLS 1,0DTLS 1.0 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do DTLS 1,0 no cliente do DTLS.Controls the use of DTLS 1.0 on the DTLS client.
ServidorServer Controla o uso do DTLS 1,0 no servidor DTLS.Controls the use of DTLS 1.0 on the DTLS server.

Para desabilitar o DTLS 1,0 para cliente ou servidor, altere o valor de DWORD para 0.To disable DTLS 1.0 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do DTLS 1,0, ele será negado.If an SSPI app requests to use DTLS 1.0, it will be denied.

Para desabilitar o DTLS 1,0 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable DTLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI solicitar explicitamente o uso do DTLS 1,0, ele poderá ser negociado.If an SSPI app explicitly requests to use DTLS 1.0, it may be negotiated.

O exemplo a seguir mostra o DTLS 1,0 desabilitado no registro:The following example shows DTLS 1.0 disabled in the registry:

DTLS 1,0 desabilitado

DTLS 1,2DTLS 1.2

Essa subchave controla o uso do DTLS 1,2.This subkey controls the use of DTLS 1.2.

Para configurações padrão do DTLS 1,2, consulte protocolos no TLS/SSL (Schannel SSP).For DTLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Caminho do registro: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Para habilitar o protocolo DTLS 1,2, crie uma entrada habilitada na subchave cliente ou servidor, conforme descrito na tabela a seguir.To enable the DTLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Essa entrada não existe no Registro por padrão.This entry does not exist in the registry by default. Depois de criar a entrada, altere o valor DWORD para 1.After you have created the entry, change the DWORD value to 1.

Tabela de subchaves do DTLS 1,2DTLS 1.2 subkey table

SubchaveSubkey DescriçãoDescription
RemotaClient Controla o uso do DTLS 1,2 no cliente do DTLS.Controls the use of DTLS 1.2 on the DTLS client.
ServidorServer Controla o uso do DTLS 1,2 no servidor DTLS.Controls the use of DTLS 1.2 on the DTLS server.

Para desabilitar o DTLS 1,2 para cliente ou servidor, altere o valor de DWORD para 0.To disable DTLS 1.2 for client or server, change the DWORD value to 0. Se um aplicativo SSPI solicitar o uso do DTLS 1,0, ele será negado.If an SSPI app requests to use DTLS 1.0, it will be denied.

Para desabilitar o DTLS 1,2 por padrão, crie uma entrada DisabledByDefault e altere o valor DWORD para 1.To disable DTLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. Se um aplicativo SSPI solicitar explicitamente o uso do DTLS 1,2, ele poderá ser negociado.If an SSPI app explicitly requests to use DTLS 1.2, it may be negotiated.

O exemplo a seguir mostra o DTLS 1,1 desabilitado no registro:The following example shows DTLS 1.1 disabled in the registry:

DTLS 1,1 desabilitado