Windows 7의 TLS 암호 그룹
암호화 도구 모음은 이를 지원하는 TLS 버전에 대해서만 협상할 수 있습니다. 지원되는 가장 높은 TLS 버전은 항상 TLS 핸드셰이크에서 선호됩니다. 예를 들어 클라이언트와 서버 모두 SSL 2.0에서만 지원되므로 클라이언트와 서버가 TLS 1.2, 1.1 및 1.0 또는 SSL 3.0을 지원하지 않는 경우에만 SSL_CK_RC4_128_WITH_MD5 사용할 수 있습니다.
암호화 도구 모음의 가용성은 다음 두 가지 방법 중 하나로 제어되어야 합니다.
- 우선 순위 목록이 구성되면 기본 우선 순위 순서가 재정의됩니다. 우선 순위 목록에 없는 암호 그룹은 사용되지 않습니다.
- 애플리케이션이 SCH_USE_STRONG_CRYPTO 통과하면 허용됩니다. Microsoft Schannel 공급자는 애플리케이션이 SCH_USE_STRONG_CRYPTO 플래그를 사용할 때 알려진 약한 암호 그룹을 필터링합니다. Windows 7에서는 RC4 암호화 제품군이 필터링됩니다.
Important
HTTP/2 웹 서비스는 비 HTTP/2 호환 암호 도구 모음으로 실패합니다. HTTP/2 클라이언트 및 브라우저에서 웹 서비스가 작동하도록 하려면 사용자 지정 암호 그룹 순서를 배포하는 방법을 참조 하세요.
FIPS 준수는 타원 곡선이 추가되어 이 테이블의 이전 버전에서 FIPS 모드가 설정된 열을 오해의 소지가 있으므로 더욱 복잡해졌습니다. 예를 들어 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 같은 암호 그룹은 NIST 타원 곡선을 사용하는 경우에만 FIPS 규격입니다. FIPS 모드에서 사용할 줄임표 곡선과 암호화 도구 모음의 조합을 알아보려면 TLS 구현의 선택, 구성 및 사용에 대한 지침 섹션 3.3.1을 참조하세요.
Windows 7, Windows 8 및 Windows Server 2012는 우선 순위 순서를 변경하는 3042058 업데이트에 의해 Windows 업데이트 의해 업데이트됩니다. 자세한 내용은 Microsoft 보안 권고 3042058 참조하세요. 다음 암호 그룹은 Microsoft Schannel 공급자가 기본적으로 이 우선 순위 순서로 사용하도록 설정됩니다.
| 암호 그룹 문자열 | SCH_USE_STRONG_CRYPTO 허용 | TLS/SSL 프로토콜 버전 |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 | 예 | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 | 예 | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 | 예 | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 | 예 | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | 예 | TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | 예 | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 | 예 | TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 | 예 | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 | 예 | TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 예 | TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 아니요 | SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 애플리케이션이 명시적으로 요청할 때만 사용됩니다. | 예 | SSL 2.0 |
다음 암호 그룹은 Microsoft Schannel 공급자에서 지원되지만 기본적으로 사용하도록 설정되지는 않습니다.
| 암호 그룹 문자열 | SCH_USE_STRONG_CRYPTO 허용 | TLS/SSL 프로토콜 버전 |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 | 예 | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 | 예 | TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 | 예 | TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 | 예 | TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 | 아니요 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA | 예 | TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 | 예 | SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 | 아니요 | SSL 2.0 |
암호 그룹을 추가하려면 컴퓨터 구성 관리 템플릿 > 네트워크 > SSL 구성 > 설정에서 그룹 정책 설정 SSL 암호 그룹 순서를 사용하여 사용하려는 모든 암호 그룹에 대한 우선 순위 목록을 구성합니다.