Teknisk referensinformation om kryptering
I den här artikeln finns mer information om certifikat, tekniker och TLS-chiffersviter som används för kryptering i Office 365. I den här artikeln finns också information om planerade utfasningar.
- Om du letar efter översiktlig information kan du gå till Kryptering i Office 365.
- Om du letar efter konfigurationsinformation kan du gå till Konfigurera kryptering i Office 365 Enterprise.
- Mer information om chiffersviter som stöds av specifika versioner av Windows finns i Chiffersviter i TLS/SSL (Schannel SSP).
Microsoft Office 365 och hantera certifikat
Du behöver inte köpa eller underhålla certifikat för Office 365. I stället Office 365 egna certifikat.
Aktuella krypteringsstandarder och planerad utfasning
För att tillhandahålla kryptering i toppklass granskar Office 365 regelbundet krypteringsstandarder som stöds. Ibland är gamla standarder föråldrade allt eftersom de blir inaktuella och mindre säkra. I den här artikeln beskrivs för närvarande chiffersviter och andra standarder och information om planerade utfasningar.
FIPS-efterlevnad för Office 365
Alla chiffersviter som stöds Office 365 använda algoritmer som är godkända i FIPS 140-2. Office 365 ärver FIPS-verifieringar från Windows (via Schannel). Mer information om Schannel finns i Chiffersviter i TLS/SSL (Schannel SSP).
Versioner av TLS som stöds av Office 365
TLS, och SSL som kom före TLS, är kryptografiska protokoll som skyddar kommunikationen över ett nätverk genom att använda säkerhetscertifikat för att kryptera en anslutning mellan datorer. Office 365 TLS version 1.2 (TLS 1.2).
TLS version 1.3 (TLS 1.3) stöds av vissa tjänster.
Viktigt
Tänk på att TLS-versioner tar bort och att inaktuella versioner inte bör användas där nyare versioner är tillgängliga. Om dina äldre tjänster inte kräver TLS 1.0 eller 1.1 bör du inaktivera dem.
Stöd för utfasning av TLS 1.0 och 1.1
Office 365 slutade stödja TLS 1.0 och 1.1 den 31 oktober 2018. Vi har inaktiverat TLS 1.0 och 1.1 i GCC Hög- och DoD-miljöer. Vi började inaktivera TLS 1.0 och 1.1 för globala miljöer och GCC-miljöer med början den 15 oktober 2020 och fortsätter med distribution under de kommande veckorna och månaderna.
För att upprätthålla en säker anslutning Office 365 och Microsoft 365 tjänster använder alla kombinationer av klientserver- och webbläsarserverer TLS 1.2 och moderna chiffersviter. Du kan behöva uppdatera vissa kombinationer av klient- och webbläsarservrar. Mer information om hur ändringen påverkar dig finns i Förbereda den obligatoriska användningen av TLS 1.2 i Office 365.
Inaktuellt stöd för 3DES
Sedan den 31 oktober 2018 Office 365 inte längre stöd för användning av 3DES-chiffersviter för kommunikation till Office 365. Mer specifikt kan Office 365 inte längre stöd för TLS_RSA_WITH_3DES_EDE_CBC_SHA-chiffersvit. Sedan den 28 februari 2019 har chiffersviten inaktiverats i Office 365. Klienter och servrar som kommunicerar Office 365 måste ha stöd för ett eller flera av de chiffer som stöds. En lista över de chiffer som stöds finns i TLS-chiffersviter som stöds av Office 365.
Stöd för SHA-1 bortfasning i Office 365
Sedan juni 2016 Office 365 inte längre ett SHA-1-certifikat för utgående eller inkommande anslutningar. Använd SHA-2 (Secure Hash Algorithm 2) eller en starkare hash-algoritm i certifikatskedjan.
TLS-chiffersviter som stöds av Office 365
TLS använder chiffersviter, samlingar av krypteringsalgoritmer för att upprätta säkra anslutningar. Office 365 stöd för chiffersviterna som anges i följande tabell. Tabellen visar chiffersviterna i ordningen, med den starkaste chiffersviten först.
Office 365 på en anslutningsbegäran genom att först försöka ansluta med hjälp av det säkraste chiffersviten. Om anslutningen inte fungerar försöker Office 365 den andra säkraste chiffersviten i listan och så vidare. Tjänsten fortsätter ned i listan tills anslutningen accepteras. På samma sätt Office 365 du begär en anslutning väljer den mottagande tjänsten om TLS ska användas och vilket chiffersvit som ska användas.
| Namn på chiffersvit | Algoritm/hållfasthet för nyckelutbyte | Vidarebefordran av en 2010-dag | Chiffer/hållfasthet | Autentiseringsalgoritm/-hållfasthet |
|---|---|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
RSA/112 |
Nej |
AES/256 |
RSA/112 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
RSA/112 |
Nej |
AES/256 |
RSA/112 |
Följande chiffersviter stöder TLS 1.0- och 1.1-protokoll till utfasningens datum. För GCC Hög- och DoD-miljöer var utfasningen den 15 januari 2020. För Globalt och GCC miljöer var datumet den 15 oktober 2020.
| Protokoll | Namn på chiffersvit | Algoritm/hållfasthet för nyckelutbyte | Vidarebefordran av en 2010-dag | Chiffer/hållfasthet | Autentiseringsalgoritm/-hållfasthet |
|---|---|---|---|---|---|
| TLS 1.0, 1.1, 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA |
RSA/112 |
Nej |
AES/256 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA |
RSA/112 |
Nej |
AES/128 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
RSA/112 |
Nej |
AES/256 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
RSA/112 |
Nej |
AES/256 |
RSA/112 |
Vissa Office 365 TLS-produkter (inklusive Microsoft Teams) använder Azure Front Door för att avsluta TLS-anslutningar och dirigera nätverkstrafik effektivt. Minst ett av chiffersviterna som stöds av Azure Front Door via TLS 1.2 måste vara aktiverade för att anslutningen till dessa produkter ska lyckas. För Windows 10 och högre rekommenderar vi att du aktiverar en eller båda av ECDHE-chiffersviterna för bättre säkerhet. Windows 7, 8 och 8.1 är inte kompatibla med Azure Front Doors ECDHE-chiffersviter och DHE-chiffersviterna har tillhandahållits för kompatibilitet med dessa operativsystem.
Relaterade artiklar
TLS-chiffersviter i Windows 10 v1903
Konfigurera kryptering i Office 365 Enterprise
Schannel-implementering av TLS 1.0 Windows säkerhetsstatusuppdatering: 24 november 2015
Förbättringar av TLS/SSL-kryptografik (Windows IT Center)