Наборы шифров TLS в Windows 8.1
Наборы шифров могут быть согласованы только для версий TLS, которые поддерживают их. Наиболее поддерживаемая версия TLS всегда предпочтительна в подтверждении TLS. Например, SSL_CK_RC4_128_WITH_MD5 можно использовать только в том случае, если клиент и сервер не поддерживают TLS 1.2, 1.1 и 1.0 или SSL 3.0, так как он поддерживается только с SSL 2.0.
Доступность наборов шифров должна контролироваться одним из двух способов:
- Порядок приоритета по умолчанию переопределяется при настройке списка приоритетов. Наборы шифров, не входящие в список приоритетов, не будут использоваться.
- Разрешено, когда приложение проходит SCH_USE_STRONG_CRYPTO: поставщик Microsoft Schannel отфильтрует известные слабые наборы шифров, когда приложение использует флаг SCH_USE_STRONG_CRYPTO. В Windows 8.1 наборы шифров RC4 отфильтровываются.
Важно!
Сбой веб-служб HTTP/2 с наборами шифров, совместимыми с HTTP/2. Чтобы убедиться, что веб-службы работают с клиентами и браузерами HTTP/2, см. инструкции по развертыванию упорядочения пользовательских наборов шифров.
Соответствие FIPS стало более сложным с добавлением многоточийных кривых, что делает столбец с включенным режимом FIPS в предыдущих версиях этой таблицы вводящим в заблуждение. Например, набор шифров, например TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, соответствует только FIPS при использовании многоточийных кривых NIST. Чтобы узнать, какие сочетания эллиптических кривых и наборов шифров будут включены в режиме FIPS, см. в разделе 3.3.1 руководства по выбору, настройке и использованию реализаций TLS.
Windows 8.1 и Windows Server 2012 R2 обновляются Обновл. Windows обновлением 2919355 применено, которое добавляет новые наборы шифров и изменяет порядок приоритета. Следующие наборы шифров включены и в этом порядке приоритета по умолчанию поставщиком Microsoft Schannel:
| Строка набора шифров | Разрешено SCH_USE_STRONG_CRYPTO | Версии протокола TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 |
Да |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 |
Да |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 |
Да |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 |
Да |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
Да |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
Да |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
Да |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
Да |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Да |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
Да |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
Да |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
Да |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Используется только при явном запросе приложения. |
Да |
TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Используется только при явном запросе приложения. |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Используется только при явном запросе приложения. |
No |
SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Используется только при явном запросе приложения. |
Да |
SSL 2.0 |
Следующие наборы шифров поддерживаются поставщиком Microsoft Schannel, но не включены по умолчанию:
| Строка набора шифров | Разрешено SCH_USE_STRONG_CRYPTO | Версии протокола TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 |
Да |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 |
Да |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 |
Да |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 |
No |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA |
Да |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 |
Да |
SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 |
No |
SSL 2.0 |
Чтобы добавить наборы шифров, используйте параметр групповой политики ssl Cipher Suite Order в разделе "Конфигурация > компьютера" Администратор istrative templates > Network > SSL Configuration Параметры, чтобы настроить список приоритетов для всех наборов шифров, которые вы хотите включить.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по