Suite TLS Cipher di Windows 8
Cipher suite hanya dapat dinegosiasikan untuk versi TLS yang mendukungnya. Versi TLS tertinggi yang didukung selalu disukai dalam jabat tangan TLS. Misalnya, SSL_CK_RC4_128_WITH_MD5 hanya dapat digunakan ketika klien dan server tidak mendukung TLS 1.2, 1.1 & 1.0 atau SSL 3.0 karena hanya didukung dengan SSL 2.0.
Ketersediaan cipher suite harus dikontrol dengan salah satu dari dua cara:
- Urutan prioritas default ditimpa saat daftar prioritas dikonfigurasi. Cipher suite yang tidak ada dalam daftar prioritas tidak akan digunakan.
- Diizinkan ketika aplikasi lolos SCH_USE_STRONG_CRYPTO: Penyedia Microsoft Schannel akan memfilter suite sandi lemah yang diketahui ketika aplikasi menggunakan bendera SCH_USE_STRONG_CRYPTO. Di Windows 8, suite sandi RC4 difilter.
Penting
Layanan web HTTP/2 gagal dengan cipher suite yang tidak kompatibel dengan HTTP/2. Untuk memastikan fungsi layanan web Anda dengan klien HTTP/2 dan browser, lihat Cara menyebarkan urutan cipher suite kustom.
Kepatuhan FIPS telah menjadi lebih kompleks dengan penambahan kurva elips membuat kolom yang diaktifkan mode FIPS di versi sebelumnya dari tabel ini menyesatkan. Misalnya, rangkaian sandi seperti TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 hanya sesuai FIPS saat menggunakan kurva elips NIST. Untuk mengetahui kombinasi kurva elips dan suite sandi mana yang akan diaktifkan dalam mode FIPS, lihat bagian 3.3.1 Dari Panduan Untuk Pemilihan, Konfigurasi, dan Penggunaan Implementasi TLS.
Windows 7, Windows 8, dan Windows Server 2012 diperbarui oleh Windows Update oleh pembaruan 3042058 yang mengubah urutan prioritas. Lihat 3042058 Microsoft Security Advisory untuk informasi selengkapnya. Suite sandi berikut diaktifkan dan dalam urutan prioritas ini secara default oleh Penyedia Microsoft Schannel:
| String cipher suite | Diizinkan oleh SCH_USE_STRONG_CRYPTO | Versi Protokol TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | Ya | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | Ya | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | Ya | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | Ya | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | Ya | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | Ya | TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | Ya | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | Ya | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | Ya | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | Ya | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | Ya | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | Ya | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Hanya digunakan saat aplikasi secara eksplisit meminta. | Ya | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Hanya digunakan saat aplikasi secara eksplisit meminta. | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Hanya digunakan saat aplikasi secara eksplisit meminta. | No | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Hanya digunakan saat aplikasi secara eksplisit meminta. | Ya | SSL 2.0 |
Suite sandi berikut didukung oleh Penyedia Microsoft Schannel, tetapi tidak diaktifkan secara default:
| String cipher suite | Diizinkan oleh SCH_USE_STRONG_CRYPTO | Versi Protokol TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | Ya | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | Ya | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | Ya | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | Ya | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | No | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | Ya | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | Ya | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | No | SSL 2.0 |
Untuk menambahkan cipher suite, gunakan pengaturan kebijakan grup SSL Cipher Suite Order di bawah Pengaturan Konfigurasi SSL Jaringan > Templat > Administratif Konfigurasi Komputer > untuk mengonfigurasi daftar prioritas untuk semua suite cipher yang ingin Anda aktifkan.