Share via

TLS Cipher Suites di Windows 11

  • Artikel

Cipher suite hanya dapat dinegosiasikan untuk versi TLS yang mendukungnya. Versi TLS tertinggi yang didukung selalu lebih disukai dalam jabat tangan TLS.

Ketersediaan cipher suite harus dikontrol dengan salah satu dari dua cara:

  • Urutan prioritas default ditimpa saat daftar prioritas dikonfigurasi. Cipher suite yang tidak ada dalam daftar prioritas tidak akan digunakan.
  • Diizinkan ketika aplikasi lolos SCH_USE_STRONG_CRYPTO: Penyedia Microsoft Schannel akan memfilter cipher suite lemah yang diketahui ketika aplikasi menggunakan bendera SCH_USE_STRONG_CRYPTO. Suite RC4, DES, ekspor, dan cipher null difilter.

Penting

Layanan web HTTP/2 gagal dengan suite cipher yang tidak kompatibel dengan HTTP/2. Untuk memastikan fungsi layanan web Anda dengan klien dan browser HTTP/2, lihat Cara menyebarkan urutan cipher suite kustom.

Kepatuhan FIPS telah menjadi lebih kompleks dengan penambahan kurva elips membuat kolom yang diaktifkan mode FIPS di versi sebelumnya dari tabel ini menyesatkan. Misalnya, cipher suite seperti TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 hanya mematuhi FIPS saat menggunakan kurva elips NIST. Untuk mengetahui kombinasi kurva elips dan suite sandi mana yang akan diaktifkan dalam mode FIPS, lihat bagian 3.3.1 dari Pedoman Untuk Pemilihan, Konfigurasi, dan Penggunaan Implementasi TLS.

Untuk Windows 11, suite sandi berikut diaktifkan dan dalam urutan prioritas ini secara default menggunakan Penyedia Microsoft Schannel:

String rangkaian sandi Diizinkan oleh SCH_USE_STRONG_CRYPTO Versi Protokol TLS/SSL
TLS_AES_256_GCM_SHA384
 Ya
 TLS 1.3
TLS_AES_128_GCM_SHA256
 Ya
 TLS 1.3
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
 Ya
 TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
 Ya
 TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
 Ya
 TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 Ya
 TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
 Tidak
 TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
 Ya
 TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
 Ya
 TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
 Ya
 TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
 Ya
 TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
 Ya
 TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_256_GCM_SHA384
 Ya
 TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256
 Ya
 TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
 Ya
 TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
 Ya
 TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_128_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_NULL_SHA256
Hanya digunakan ketika aplikasi secara eksplisit meminta.
 Tidak
 TLS 1.2
TLS_RSA_WITH_NULL_SHA
Hanya digunakan ketika aplikasi secara eksplisit meminta.
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0

Suite sandi berikut didukung oleh Penyedia Microsoft Schannel, tetapi tidak diaktifkan secara default:

String rangkaian sandi Diizinkan oleh SCH_USE_STRONG_CRYPTO Versi Protokol TLS/SSL
TLS_CHACHA20_POLY1305_SHA256
 Ya
 TLS 1.3
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
 Ya
 TLS 1.2
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
 Ya
 TLS 1.2
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
 Ya
 TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_MD5
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_DES_CBC_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_WITH_DES_CBC_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_NULL_MD5
Hanya digunakan saat aplikasi secara eksplisit meminta.
Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT_WITH_RC4_40_MD5
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
 Tidak
 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0

Suite sandi PSK berikut diaktifkan dan dalam urutan prioritas ini secara default menggunakan Penyedia Microsoft Schannel:

String rangkaian sandi Diizinkan oleh SCH_USE_STRONG_CRYPTO Versi Protokol TLS/SSL
TLS_PSK_WITH_AES_256_GCM_SHA384
 Ya
 TLS 1.2
TLS_PSK_WITH_AES_128_GCM_SHA256
 Ya
 TLS 1.2
TLS_PSK_WITH_AES_256_CBC_SHA384
 Ya
 TLS 1.2
TLS_PSK_WITH_AES_128_CBC_SHA256
 Ya
 TLS 1.2
TLS_PSK_WITH_NULL_SHA384
 Tidak
 TLS 1.2
TLS_PSK_WITH_NULL_SHA256
 Tidak
 TLS 1.2

Catatan

Tidak ada suite sandi PSK yang diaktifkan secara default. Aplikasi perlu meminta PSK menggunakan SCH_USE_PRESHAREDKEY_ONLY. Untuk informasi selengkapnya tentang bendera Schannel, lihat SCHANNEL_CRED.

Untuk menambahkan cipher suite, sebarkan kebijakan grup atau gunakan cmdlet TLS:

  • Untuk menggunakan kebijakan grup, konfigurasikan Pesanan SSL Cipher Suite di bawah Pengaturan Konfigurasi Administratif Konfigurasi > Komputer Pengaturan > Konfigurasi SSL Jaringan > dengan daftar prioritas untuk semua suite cipher yang ingin Anda aktifkan.
  • Untuk menggunakan PowerShell, lihat cmdlet TLS.

Catatan

Sebelum Windows 10, string cipher suite ditambahkan dengan kurva elips untuk menentukan prioritas kurva. Windows 10 mendukung pengaturan urutan prioritas kurva elips sehingga akhiran kurva elips tidak diperlukan dan ditimpa oleh urutan prioritas kurva elips baru, ketika disediakan, untuk memungkinkan organisasi menggunakan kebijakan grup untuk mengonfigurasi versi Windows yang berbeda dengan suite cipher yang sama.