Windows 7 中的 TLS 密码套件
只能为支持密码套件的 TLS 版本协商密码套件。 在 TLS 握手中,始终首选受支持的最高 TLS 版本。 例如,仅当客户端和服务器都不支持 TLS 1.2、1.1 & 1.0 或 SSL 3.0 时,才能使用SSL_CK_RC4_128_WITH_MD5,因为它仅受 SSL 2.0 支持。
应通过以下两种方式之一控制密码套件的可用性:
- 配置优先级列表时,将重写默认优先级顺序。 不会使用不在优先级列表中的密码套件。
- 当应用程序通过SCH_USE_STRONG_CRYPTO时允许:当应用程序使用 SCH_USE_STRONG_CRYPTO 标志时,Microsoft Schannel 提供程序将筛选出已知的弱密码套件。 在 Windows 7 中,RC4 密码套件已筛选掉。
重要
HTTP/2 Web 服务因与 HTTP/2 不兼容的密码套件而失败。 若要确保 Web 服务通过 HTTP/2 客户端和浏览器正常运行,请参阅 如何部署自定义密码套件排序。
由于添加了椭圆曲线,FIPS 合规性变得更加复杂,使得此表的早期版本中已启用 FIPS 模式的列具有误导性。 例如,使用 NIST 椭圆曲线时,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 等密码套件仅符合 FIPS。 若要了解将在 FIPS 模式下启用哪些椭圆曲线和密码套件的组合,请参阅 TLS 实现的选择、配置和使用指南的第 3.3.1 节。
Windows 7、Windows 8 和 Windows Server 2012由更改优先级顺序的3042058更新Windows 更新更新。 有关详细信息 ,请参阅 Microsoft 安全咨询3042058 。 Microsoft Schannel 提供程序默认启用以下密码套件,并按此优先级顺序启用:
| 密码套件字符串 | 允许SCH_USE_STRONG_CRYPTO | TLS/SSL 协议版本 |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 |
是 |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 |
是 |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 |
是 |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 |
是 |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
是 |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
是 |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
是 |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
是 |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
是 |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
是 |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
是 |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
是 |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA |
否 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 |
否 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 仅在应用程序显式请求时才使用。 |
是 |
TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA 仅在应用程序显式请求时才使用。 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 仅在应用程序显式请求时才使用。 |
否 |
SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 仅在应用程序显式请求时才使用。 |
是 |
SSL 2.0 |
Microsoft Schannel 提供程序支持以下密码套件,但默认情况下不启用:
| 密码套件字符串 | 允许SCH_USE_STRONG_CRYPTO | TLS/SSL 协议版本 |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 |
是 |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 |
是 |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 |
是 |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
否 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 |
否 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA |
是 |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 |
是 |
SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 |
否 |
SSL 2.0 |
若要添加密码套件,请使用组策略设置“计算机配置”“管理模板>”“网络 > SSL 配置>设置”下的“SSL 密码套件顺序”,为要启用的所有密码套件配置优先级列表。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈