Suites de chiffrement TLS dans Windows 7
Les suites de chiffrement ne peuvent être négociées que pour les versions TLS qui les prennent en charge. La version de TLS la plus élevée prise en charge est toujours choisie dans la négociation TLS. Par exemple, SSL_CK_RC4_128_WITH_MD5 ne peut être utilisé que lorsque le client et le serveur ne prennent pas en charge TLS 1.2, 1.1 et 1.0 ou SSL 3.0, car il est uniquement pris en charge avec SSL 2.0.
La disponibilité des suites de chiffrement doit être contrôlée de deux façons :
- L’ordre de priorité par défaut est remplacé lorsqu’une liste de priorités est configurée. Les suites de chiffrement ne figurant pas dans la liste de priorités ne seront pas utilisées.
- Autorisé lorsque l’application passe SCH_USE_STRONG_CRYPTO : le fournisseur Microsoft Schannel filtre les suites de chiffrement faibles connues lorsque l’application utilise l’indicateur SCH_USE_STRONG_CRYPTO. Dans Windows 7, les suites de chiffrement RC4 sont filtrées.
Important
Les services web HTTP/2 échouent avec les suites de chiffrement non compatibles HTTP/2. Pour vous assurer que vos services web fonctionnent avec des clients et des navigateurs HTTP/2, consultez Comment déployer un ordre de suite de chiffrement personnalisé.
La conformité FIPS est devenue plus complexe avec l’ajout de courbes elliptiques rendant la colonne du mode FIPS activée dans les versions précédentes de cette table trompeuse. Par exemple, une suite de chiffrement telle que TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 est conforme aux normes FIPS uniquement lors de l’utilisation de courbes elliptiques NIST. Pour savoir quelles combinaisons de courbes elliptiques et de suites de chiffrement seront activées en mode FIPS, consultez la section 3.3.1 des instructions relatives à la sélection, à la configuration et à l’utilisation des implémentations TLS.
Windows 7, Windows 8 et Windows Server 2012 sont mis à jour par Windows Update par la mise à jour 3042058 qui modifie l’ordre de priorité. Voir l’avis de sécurité Microsoft 3042058. Les suites de chiffrement suivantes sont activées et dans cet ordre de priorité par défaut par le fournisseur Microsoft Schannel :
| Chaîne de suite de chiffrement | Autorisé par SCH_USE_STRONG_CRYPTO | Versions du protocole TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Oui | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Oui | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Oui | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Oui | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Oui | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Oui | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Oui | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Oui | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Oui | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Oui | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Oui | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Oui | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | Non | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | Non | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 utilisé uniquement lorsque l’application demande explicitement. | Oui | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA utilisé uniquement lorsque l’application demande explicitement. | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 utilisé uniquement lorsque l’application demande explicitement. | Non | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 utilisé uniquement lorsque l’application demande explicitement. | Oui | SSL 2.0 |
Les suites de chiffrement suivantes sont prises en charge par le fournisseur Microsoft Schannel, mais ne sont pas activées par défaut :
| Chaîne de suite de chiffrement | Autorisé par SCH_USE_STRONG_CRYPTO | Versions du protocole TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Oui | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Oui | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Oui | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Oui | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | Non | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | Non | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Oui | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Oui | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | Non | SSL 2.0 |
Pour ajouter des suites de chiffrement, utilisez le paramètre de stratégie de groupe Ordre de suite de chiffrement SSL sous Configuration ordinateur > Modèles d’administration > Réseau > Paramètres de configuration SSL pour configurer une liste de priorité pour toutes les suites de chiffrement que vous souhaitez activer.