傳輸層安全性通訊協定

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10

這個針對 IT 專業人員的主題介紹 Transport Layer Security (TLS) 協定的工作原理，並提供指向 TLS 1.0、TLS 1.1 和 TLS 1.2 IETF RFC 的連結。

注意

在未來的 Windows Server 發行版本中，預設將會停用 TLS 1.0 和 1.1。 如需詳細資訊，請參閱 TLS 1.0 和 1.1 版停用資源。

TLS (和 SSL) 協定位於應用協定層和 TCP/IP 層之間，且可以保護應用資料並將其傳送到傳輸層。 由於協定工作在應用層和傳輸層之間，因此 TLS 和 SSL 可以支援多個應用層協定。

TLS 和 SSL 假設使用的是面向連線的傳輸 (通常為 TCP)。 該協定允許客戶端和伺服器應用程式檢測以下安全風險：

• 訊息篡改

• 訊息攔截

• 訊息偽造

TLS 和 SSL 協定可分為兩層。 第一層由應用協定和三個握手協定組成：握手協定、更改密碼規格協定和警報協定。 第二層是記錄協定。

TLS 和 SSL 協定層

Schannel SSP 無需修改即可實現 TLS 和 SSL 協定。 SSL 協定是專有的，但 Internet Engineering Task Force 生成公共 TLS 規範。 有關 Windows 版本中所支援的 TLS 或 SSL 版本資訊，請參閱 TLS/SSL 中的協定 (Schannel SSP)。 每個規格都包含下列資訊：

• TLS 記錄協定

• TLS 握手協定：變更密碼規格協定—警報協定

• Cryptographic Computations

• Mandatory Cipher Suites

• Application Data Protocol

RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2

RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1

RFC 2246 - The TLS Protocol Version 1.0

TLS 工作階段繼續

在 Windows Server 2012 R2 中引入 Schannel SSP，實現 TLS 工作階段恢復的伺服器端部分。 新增 RFC 5077 的客戶端實現到 Windows 8 中。

將 TLS 連接到伺服器的裝置經常需要重新連接。 TLS 工作階段恢復降低 TLS 連線建立的成本，因為恢復涉及簡短的 TLS 握手。 這允許一組 TLS 伺服器恢復彼此的 TLS 工作階段，從而有助於更多的恢復嘗試。 此修改為支援 RFC 5077 的任何 TLS 使用者端 (包括 Windows Phone 和 Windows RT 裝置) 提供下列節省：

• 減少伺服器上的資源使用量

• 降低頻寬，改善用戶端連線的效率

• 由於恢復連線而減少 TLS 握手所花的時間

有關無狀態 TLS 工作階段恢復的資訊，請參閱 IETF 文件 RFC 5077。

應用程式通訊協定交涉

Windows Server 2012 R2 和 Windows 8.1 引入的支援允許使用者端 TLS 應用程式協定協商。 應用程式可以利用協定作為 HTTP 2.0 標準開發的一部分，而使用者可以使用執行 SPDY 協定的應用程式來存取線上服務，例如 Google 和 Twitter。

有關應用程式協定協商如何工作的資訊，請參見 Transport Layer Security (TLS) Application Layer Protocol Negotiation Extension。

TLS 支援 Server Name Indication 擴充功能

伺服器名稱指示器 (SNI) 功能會延伸 SSL 和 TLS 通訊協定，當單一伺服器上有許多虛擬映像正在執行時，允許對伺服器進行適當的識別。 在虛擬裝載方案中，多個網域 (每個網域都有其自己的可能不同的憑證) 裝載在一個伺服器上。 在這種情況下，伺服器無法預先知道要傳送到客戶端的憑證。 SNI 允許客戶端在協定中更早地通知目標域，這允許伺服器正確地選擇正確的憑證。

這提供下列額外功能：

• 可讓您在單一 Internet Protocol 與連線埠組合上裝載多個 SSL 網站

• 在單一網頁伺服器上裝載多個 SSL 網站時，可以降低記憶體使用率

• 允許更多使用者同時連線到 SSL 網站