Windows 10 v1511 中的 TLS 加密套件

發行項
01/10/2024

加密套件只能針對支援加密套件的 TLS 版本進行交涉。 TLS 交握中一律偏好最受支援的 TLS 版本。例如，只有在用戶端和伺服器都不支援 TLS 1.2、1.1 和 1.0 或 SSL 3.0 時，才能使用SSL_CK_RC4_128_WITH_MD5，因為它只支援 SSL 2.0。

加密套件的可用性應以下列兩種方式之一來控制：

設定優先順序清單時，會覆寫預設優先順序順序。不會使用不在優先順序清單中的加密套件。
當應用程式通過SCH_USE_STRONG_CRYPTO時允許：當應用程式使用 SCH_USE_STRONG_CRYPTO 旗標時，Microsoft 通道提供者會篩選掉已知的弱式加密套件。在 Windows 10 版本 1511 中，除了 RC4、DES、匯出和 Null 加密套件之外，也會篩選掉。

重要

HTTP/2 Web 服務失敗，且與非 HTTP/2 相容的加密套件。若要確保您的 Web 服務使用 HTTP/2 用戶端和瀏覽器運作，請參閱如何部署自定義加密套件順序。

FIPS 合規性隨著省略號曲線的新增而變得更加複雜，使得此數據表舊版中已啟用 FIPS 模式的數據行誤導。例如，使用 NIST 橢圓曲線時，TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256等加密套件僅符合 FIPS 規範。若要瞭解 FIPS 模式中將啟用橢圓曲線和加密套件的組合，請參閱選取、組態和使用 TLS 實作指導方針的第 3.3.1 節。

針對 Windows 10 版本 1511，預設會啟用下列加密套件，且預設會使用 Microsoft 通道提供者依此優先順序：

加密套件字串	SCH_USE_STRONG_CRYPTO允許	TLS/SSL 通訊協定版本
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	Yes	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	Yes	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	Yes	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	Yes	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	Yes	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	Yes	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	Yes	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	Yes	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	Yes	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	Yes	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_DHE_RSA_WITH_AES_256_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_RSA_WITH_AES_256_GCM_SHA384	Yes	TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256	Yes	TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256	Yes	TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256	Yes	TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_RSA_WITH_AES_128_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256	Yes	TLS 1.2
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256	Yes	TLS 1.2
TLS_DHE_DSS_WITH_AES_256_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_DHE_DSS_WITH_AES_128_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA	Yes	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_WITH_RC4_128_SHA	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_WITH_RC4_128_MD5	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_WITH_NULL_SHA256 只有在應用程式明確要求時才使用。	No	TLS 1.2
TLS_RSA_WITH_NULL_SHA 只有在應用程式明確要求時才使用。	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
SSL_CK_DES_192_EDE3_CBC_WITH_MD5 只有在應用程式明確要求時才使用。	Yes	SSL 2.0
SSL_CK_RC4_128_WITH_MD5 只有在應用程式明確要求時才使用。	No	SSL 2.0

Microsoft 安全通道提供者支援下列加密套件，但預設不會啟用：

加密套件字串	SCH_USE_STRONG_CRYPTO允許	TLS/SSL 通訊協定版本
TLS_RSA_WITH_DES_CBC_SHA	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_EXPORT_WITH_RC4_40_MD5	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_RSA_WITH_NULL_MD5 只有在應用程式明確要求時才使用。	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_DHE_DSS_WITH_DES_CBC_SHA	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA	No	TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0
SSL_CK_DES_64_CBC_WITH_MD5	No	SSL 2.0
SSL_CK_RC4_128_EXPORT40_WITH_MD5	No	SSL 2.0

若要新增加密套件，請部署組策略或使用 TLS Cmdlet：

若要使用組策略，請在 [計算機設定>] 管理員 [>>網络 SSL 組態] 底下設定 SSL 加密套件順序，並針對您想要啟用的所有加密套件設定優先順序清單設定。
若要使用 PowerShell，請參閱 TLS Cmdlet。

注意

在 Windows 10 之前，加密套件字串會附加橢圓曲線，以判斷曲線優先順序。 Windows 10 支援橢圓曲線優先順序設定，因此不需要省略號曲線後綴，而且在提供時，會由新的橢圓曲線優先順序覆寫，以允許組織使用組策略來設定具有相同加密套件的不同 Windows 版本。

重要

HTTP/2 Web 服務與自定義 TLS 加密套件順序不相容。如需詳細資訊，請參閱如何部署自定義加密套件排序。

Windows 10 v1511 中的 TLS 加密套件

意見反應

意見反應

其他資源