Protokol Keamanan Lapisan Transportasi

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Topik ini untuk profesional TI menjelaskan cara kerja protokol Keamanan Lapisan Transportasi (TLS) dan menyediakan tautan ke RFC IETF untuk TLS 1.0, TLS 1.1, dan TLS 1.2.

Catatan

Dalam rilis Windows Server di masa mendatang, TLS 1.0 dan 1.1 akan dinonaktifkan secara default. Untuk informasi selengkapnya, lihat sumber daya penonaktifan TLS versi 1.0 dan 1.1.

Protokol TLS (dan SSL) terletak di antara lapisan protokol aplikasi dan lapisan TCP/IP, di mana mereka dapat mengamankan dan mengirim data aplikasi ke lapisan transportasi. Karena protokol berfungsi antara lapisan aplikasi dan lapisan transportasi, TLS dan SSL dapat mendukung beberapa protokol lapisan aplikasi.

TLS dan SSL mengasumsikan bahwa transportasi berorientasi koneksi, biasanya TCP, sedang digunakan. Protokol ini memungkinkan aplikasi klien dan server mendeteksi risiko keamanan berikut:

• Perubahan pesan

• Intersepsi pesan

• Pemalsuan pesan

Protokol TLS dan SSL dapat dibagi menjadi dua lapisan. Lapisan pertama terdiri dari protokol aplikasi dan tiga protokol jabat tangan: protokol jabat tangan, protokol spesifikasi sandi perubahan, dan protokol pemberitahuan. Lapisan kedua adalah protokol rekaman.

Lapisan protokol TLS dan SSL

Schannel SSP mengimplementasikan protokol TLS dan SSL tanpa modifikasi. Protokol SSL bersifat kepemilikan, tetapi Internet Engineering Task Force menghasilkan spesifikasi TLS publik. Untuk informasi tentang versi TLS atau SSL mana yang didukung dalam versi Windows, lihat Protokol di TLS/SSL (Schannel SSP). Setiap spesifikasi berisi informasi tentang:

• Protokol Rekaman TLS

• Protokol Jabat Tangan TLS: - Mengubah protokol spesifikasi sandi - Protokol pemberitahuan

• Komputasi Kriptografi

• Suite Sandi Wajib

• Protokol Data Aplikasi

RFC 5246 - Protokol Keamanan Lapisan Transportasi (TLS) Versi 1.2

RFC 4346 - Protokol Keamanan Lapisan Transportasi (TLS) Versi 1.1

RFC 2246 - Protokol TLS Versi 1.0

Dimulainya kembali sesi TLS

Diperkenalkan di Windows Server 2012 R2 , Schannel SSP menerapkan bagian sisi server dari dimulainya kembali sesi TLS. Implementasi sisi klien RFC 5077 ditambahkan di Windows 8.

Perangkat yang menghubungkan TLS ke server sering kali perlu terhubung kembali. Dimulainya kembali sesi TLS mengurangi biaya pembuatan koneksi TLS karena dimulainya kembali melibatkan jabat tangan TLS yang disingkat. Ini memfasilitasi lebih banyak upaya dimulainya kembali dengan memungkinkan sekelompok server TLS untuk melanjutkan sesi TLS satu sama lain. Modifikasi ini memberikan penghematan berikut untuk klien TLS apa pun yang mendukung RFC 5077, termasuk perangkat Windows Phone dan Windows RT:

• Mengurangi penggunaan sumber daya di server

• Pengurangan bandwidth, yang meningkatkan efisiensi koneksi klien

• Mengurangi waktu yang dihabiskan untuk jabat tangan TLS karena dimulainya kembali koneksi

Untuk informasi tentang dimulainya kembali sesi TLS stateless, lihat dokumen IETF RFC 5077.

Negosiasi protokol aplikasi

Windows Server 2012 R2 dan Windows 8.1 memperkenalkan dukungan yang memungkinkan negosiasi protokol aplikasi TLS sisi klien. Aplikasi dapat memanfaatkan protokol sebagai bagian dari pengembangan standar HTTP 2.0, dan pengguna dapat mengakses layanan online seperti Google dan Twitter dengan menggunakan aplikasi yang menjalankan protokol SPDY.

Untuk informasi tentang cara kerja negosiasi protokol aplikasi, lihat Ekstensi Negosiasi Protokol Lapisan Aplikasi Keamanan Lapisan Transportasi (TLS).

Dukungan TLS untuk ekstensi Indikasi Nama Server

Fitur Indikasi Nama Server (SNI) memperluas protokol SSL dan TLS untuk memungkinkan identifikasi server yang tepat ketika banyak gambar virtual berjalan pada satu server. Dalam skenario hosting virtual, beberapa domain (masing-masing dengan sertifikatnya sendiri yang berpotensi berbeda) dihosting di satu server. Dalam hal ini, server tidak memiliki cara untuk mengetahui sebelumnya sertifikat mana yang akan dikirim ke klien. SNI memungkinkan klien untuk menginformasikan domain target sebelumnya dalam protokol, dan ini memungkinkan server untuk memilih sertifikat yang tepat dengan benar.

Ini menyediakan fungsionalitas tambahan berikut:

• Memungkinkan Anda untuk menghosting beberapa situs web SSL pada satu Protokol Internet dan kombinasi port

• Mengurangi penggunaan memori ketika beberapa situs web SSL dihosting pada satu server web

• Memungkinkan lebih banyak pengguna untuk terhubung ke situs web SSL secara bersamaan