Windows 7 中的 TLS 加密套件
加密套件只能針對支援加密套件的 TLS 版本進行交涉。 TLS 交握中一律偏好最受支援的 TLS 版本。 例如,只有在用戶端和伺服器都不支援 TLS 1.2、1.1 和 1.0 或 SSL 3.0 時,才能使用SSL_CK_RC4_128_WITH_MD5,因為它只支援 SSL 2.0。
加密套件的可用性應以下列兩種方式之一來控制:
- 設定優先順序清單時,會覆寫預設優先順序順序。 不會使用不在優先順序清單中的加密套件。
- 當應用程式通過SCH_USE_STRONG_CRYPTO時允許:當應用程式使用 SCH_USE_STRONG_CRYPTO 旗標時,Microsoft 通道提供者會篩選掉已知的弱式加密套件。 在 Windows 7 中,RC4 加密套件會篩選掉。
重要
HTTP/2 Web 服務失敗,且與非 HTTP/2 相容的加密套件。 若要確保您的 Web 服務使用 HTTP/2 用戶端和瀏覽器運作,請參閱 如何部署自定義加密套件順序。
FIPS 合規性隨著省略號曲線的新增而變得更加複雜,使得此數據表舊版中已啟用 FIPS 模式的數據行誤導。 例如,使用 NIST 橢圓曲線時,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256等加密套件僅符合 FIPS 規範。 若要瞭解 FIPS 模式中將啟用橢圓曲線和加密套件的組合,請參閱選取、組態和使用 TLS 實作指導方針的第 3.3.1 節。
Windows 7、Windows 8 和 Windows Server 2012 是由 windows Update 更新,3042058更新會變更優先順序。 如需詳細資訊,請參閱 Microsoft 資訊安全諮詢3042058 。 根據預設,Microsoft 安全通道提供者會啟用下列加密套件,並依照此優先順序:
| 加密套件字串 | SCH_USE_STRONG_CRYPTO允許 | TLS/SSL 通訊協定版本 |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
Yes |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA |
No |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 |
No |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 只有在應用程式明確要求時才使用。 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA 只有在應用程式明確要求時才使用。 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 只有在應用程式明確要求時才使用。 |
No |
SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 只有在應用程式明確要求時才使用。 |
Yes |
SSL 2.0 |
Microsoft 安全通道提供者支援下列加密套件,但預設不會啟用:
| 加密套件字串 | SCH_USE_STRONG_CRYPTO允許 | TLS/SSL 通訊協定版本 |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
No |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 |
No |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA |
Yes |
TLS 1.2、TLS 1.1、TLS 1.0、SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 |
Yes |
SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 |
No |
SSL 2.0 |
若要新增加密套件,請使用組策略設定 [計算機>設定] 底下的 [SSL 加密套件順序] 管理員 > [網络 > SSL 組態] 設定 來設定所要啟用之所有加密套件的優先順序清單。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應