TLS Chiffersviter i Windows 10 v1709
[Viss information gäller försläppt produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som tillhandahålls här.]
Chiffersviter kan bara förhandlas för TLS-versioner som stöder dem. Den högsta TLS-versionen som stöds föredras alltid i TLS-handskakningen.
Tillgängligheten för chiffersviter bör kontrolleras på något av två sätt:
- Standardprioritetsordningen åsidosättas när en prioritetslista konfigureras. Chiffersviter som inte finns i prioritetslistan används inte.
- Tillåts när programmet skickar SCH_USE_STRONG_CRYPTO: Microsoft Schannel-providern filtrerar bort kända svaga chiffersviter när programmet använder flaggan SCH_USE_STRONG_CRYPTO. RC4, DES, export och null chiffersviter filtreras bort.
Viktig
HTTP/2-webbtjänster misslyckas med icke-HTTP/2-kompatibla chiffersviter. Information om hur du ser till att webbtjänsterna fungerar med HTTP/2-klienter och webbläsare finns i Så här distribuerar du anpassad chiffersvitordning.
FIPS-efterlevnad har blivit mer komplex på grund av tillägget av elliptiska kurvor, vilket gör kolumnen FIPS-läge aktiverat i tidigare versioner av den här tabellen missvisande. Till exempel är en chiffersvit som TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 endast FIPS-kompatibel när du använder NIST-elliptiska kurvor. Information om vilka kombinationer av elliptiska kurvor och chiffersviter som ska aktiveras i FIPS-läge finns i avsnitt 3.3.1 i Riktlinjer för urval, konfiguration och användning av TLS-implementeringar.
För Windows 10 version 1709 är följande chiffersviter aktiverade och i den här prioritetsordningen som standard med hjälp av Microsoft Schannel-providern:
| Krypteringssvitsträng | Tillåts av SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versioner |
|---|---|---|
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_NULL_SHA256 Används endast när programmet uttryckligen begär. | Nej | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Används endast när programmet uttryckligen begär. | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
Följande chiffersviter stöds av Microsoft Schannel-providern, men är inte aktiverade som standard:
| Chiffersvitsträng | Tillåts av SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versioner |
|---|---|---|
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ja | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 Används endast när programmet uttryckligen begär. | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Nej | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
Följande PSK-chiffersviter är aktiverade och i den här prioritetsordningen som standard med hjälp av Microsoft Schannel-providern:
| Chiffersvitsträng | Tillåts av SCH_USE_STRONG_CRYPTO | TLS/SSL Protocol-versioner |
|---|---|---|
| TLS_PSK_WITH_AES_256_GCM_SHA384 | Ja | TLS 1.2 |
| TLS_PSK_WITH_AES_128_GCM_SHA256 | Ja | TLS 1.2 |
| TLS_PSK_WITH_AES_256_CBC_SHA384 | Ja | TLS 1.2 |
| TLS_PSK_WITH_AES_128_CBC_SHA256 | Ja | TLS 1.2 |
| TLS_PSK_WITH_NULL_SHA384 | Nej | TLS 1.2 |
| TLS_PSK_WITH_NULL_SHA256 | Nej | TLS 1.2 |
Not
Inga PSK-chiffersviter är aktiverade som standard. Applikationer behöver begära PSK med hjälp av SCH_USE_PRESHAREDKEY_ONLY. Mer information om Schannel-flaggor finns i SCHANNEL_CRED.
Om du vill lägga till chiffersviter distribuerar du antingen en gruppolicy eller använder TLS-cmdletarna.
- Om du vill använda en grupprincip konfigurerar du SSL Cipher Suite-ordningen under Datorkonfiguration > Administrativa mallar > Konfigurationsinställningar för nätverk > SSL med prioritetslistan för alla chiffersviter som du vill aktivera.
- Information om hur du använder PowerShell finns i TLS cmdlets.
Obs
Innan Windows 10 kompletterades chiffersvitsträngar med den elliptiska kurvan för att bestämma kurvprioriteten. Windows 10 stöder en inställning för prioritetsordning av elliptiska kurvor, så att suffixet för elliptiska kurvor inte krävs utan åsidosätts av den nya prioritetsordningen för elliptiska kurvor när den tillhandahålls. Detta gör att organisationer kan använda grupppolicy för att konfigurera olika versioner av Windows med samma chifferuppsättningar.