Detalhes de referência técnica sobre criptografia

Consulte este artigo para saber mais sobre certificados, tecnologias e conjuntos de criptografia TLS usados para criptografia Office 365. Este artigo também fornece detalhes sobre deprecações planejadas.

Gerenciamento e propriedade de certificado do Microsoft Office 365

Você não precisa comprar nem manter certificados para Office 365. Em vez disso, Office 365 usa seus próprios certificados.

Padrões de criptografia atuais e preterições planejadas

Para fornecer a melhor criptografia na classe, Office 365 regularmente revisa os padrões de criptografia com suporte. Às vezes, os padrões antigos são preteridos à medida que se tornam desatualizados e menos seguros. Este artigo descreve os conjuntos de criptografia com suporte no momento e outros padrões e detalhes sobre as preterições planejadas.

Conformidade com FIPS para Office 365

Todos os conjuntos de criptografia compatíveis com Office 365 usam algoritmos aceitáveis em FIPS 140-2. Office 365 herda validações FIPS do Windows (por meio do Schannel). Para obter informações sobre schannel, consulte Cipher Suites in TLS/SSL (Schannel SSP).

Versões do TLS com suporte do Office 365

O TLS e o SSL que vieram antes do TLS são protocolos criptográficos que protege a comunicação em uma rede usando certificados de segurança para criptografar uma conexão entre computadores. Office 365 dá suporte ao TLS versão 1.2 (TLS 1.2).

O TLS versão 1.3 (TLS 1.3) é compatível com alguns dos serviços.

Importante

Lembre-se de que as versões do TLS foram preteridas e que as versões preteridas não devem ser usadas quando as versões mais recentes estão disponíveis. Se os serviços herdados não exigirem o TLS 1.0 ou 1.1, você deverá desabilitá-los.

Suporte para substituição do TLS 1.0 e 1.1

Office 365 suporte ao TLS 1.0 e 1.1 em 31 de outubro de 2018. Concluimos a desabilitação do TLS 1.0 e 1.1 em ambientes GCC High e DoD. Começamos a desabilitar o TLS 1.0 e 1.1 para ambientes em todo o mundo e GCC a partir de 15 de outubro de 2020 e continuaremos com a distribuição nas próximas semanas e meses.

Para manter uma conexão segura com os serviços Office 365 e Microsoft 365, todas as combinações cliente-servidor e navegador-servidor usam o TLS 1.2 e conjuntos de criptografia modernos. Você poderá ter que atualizar certas combinações de cliente-servidor e navegador-servidor. Para obter informações sobre como essa alteração afeta você, consulte Preparando-se para o uso obrigatório do TLS 1.2 Office 365.

Preterindo o suporte para 3DES

Desde 31 de outubro de 2018, o Office 365 não dá mais suporte ao uso de conjuntos de criptografia 3DES para comunicação com Office 365. Mais especificamente, Office 365 dá mais suporte ao TLS_RSA_WITH_3DES_EDE_CBC_SHA de criptografia. Desde 28 de fevereiro de 2019, esse conjunto de criptografias foi desabilitado Office 365. Os clientes e servidores que se comunicam com Office 365 devem dar suporte a uma ou mais das codificações com suporte. Para obter uma lista de codificações com suporte, consulte conjuntos de criptografia TLS compatíveis com Office 365.

Substituição do suporte de certificado SHA-1 no Office 365

Desde junho de 2016, o Office 365 não aceita mais um certificado SHA-1 para conexões de saída ou de entrada. Use SHA-2 (Algoritmo de Hash Seguro 2) ou um algoritmo de hash mais forte na cadeia de certificados.

Pacotes de codificação TLS com suporte do Office 365

O TLS usa conjuntos de criptografia, coleções de algoritmos de criptografia, para estabelecer conexões seguras. Office 365 dá suporte aos conjuntos de criptografia listados na tabela a seguir. A tabela lista os conjuntos de criptografia em ordem de força, com o conjunto de criptografia mais forte listado primeiro.

Office 365 responde a uma solicitação de conexão primeiro tentando se conectar usando o conjunto de criptografia mais seguro. Se a conexão não funcionar, Office 365 o segundo pacote de criptografia mais seguro na lista e assim por diante. O serviço continua na lista até que a conexão seja aceita. Da mesma forma, quando Office 365 solicita uma conexão, o serviço de recebimento escolhe se o TLS será usado e qual conjunto de criptografia usar.

Nome do conjunto de codificações Algoritmo/força de troca de chaves Encaminhar sigilo Codificação/força Algoritmo/força de autenticação
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDH/192
Sim
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDH/128
Sim
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDH/192
Sim
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDH/128
Sim
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
Sim
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
Sim
AES/128
RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384
RSA/112
Não
AES/256
RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256
RSA/112
Não
AES/256
RSA/112

Os conjuntos de criptografia a seguir dão suporte aos protocolos TLS 1.0 e 1.1 até a data de substituição. Para ambientes GCC High e DoD, a data de substituição foi 15 de janeiro de 2020. Para ambientes em todo o mundo e GCC, essa data foi 15 de outubro de 2020.

Protocolos Nome do conjunto de codificações Algoritmo/força de troca de chaves Encaminhar sigilo Codificação/força Algoritmo/força de autenticação
TLS 1.0, 1.1, 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
Sim
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
Sim
AES/128
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_256_CBC_SHA
RSA/112
Não
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_128_CBC_SHA
RSA/112
Não
AES/128
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
RSA/112
Não
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
RSA/112
Não
AES/256
RSA/112

Determinados Office 365 (incluindo o Microsoft Teams) usam o Azure Front Door para encerrar conexões TLS e rotear o tráfego de rede com eficiência. Pelo menos um dos conjuntos de criptografia compatíveis com o Azure Front Door sobre TLS 1.2 deve ser habilitado para se conectar com êxito a esses produtos. Para Windows 10 e acima, recomendamos habilitar um ou ambos os conjuntos de criptografia ECDHE para melhorar a segurança. O Windows 7, 8 e 8.1 não são compatíveis com os conjuntos de criptografia ECDHE do Azure Front Door e os conjuntos de criptografia DHE foram fornecidos para compatibilidade com esses sistemas operacionais.

Conjuntos de criptografia TLS Windows 10 v1903

Criptografia no Office 365

Configure a criptografia no Office 365 Enterprise

Implementação do Schannel do TLS 1.0 na atualização de status de segurança do Windows: 24 de novembro de 2015

Aprimoramentos criptográficos TLS/SSL (Windows IT Center)

Preparação para o TLS 1.2 no Office 365 e no Office 365 GCC

Quais são os conjuntos de criptografia atuais compatíveis com o Azure Front Door?