Como implantar a ordenação personalizada do pacote de cifras no Windows Server 2016
Este artigo fornece informações para ajudá-lo a implantar a ordenação personalizada do pacote de criptografia para schannel em Windows Server 2016.
Aplica-se a: Windows Server 2016
Número de KB original: 4032720
Resumo
Para implantar seu próprio pedido de pacote de cifras para Schannel no Windows, você deve priorizar pacotes de criptografia compatíveis com HTTP/2 listando-os primeiro. Os pacotes de cifras que estão na lista de blocos HTTP/2 (RFC 7540) devem aparecer na parte inferior da lista. Por exemplo:
Pacotes de codificação do modo CBC (encadeamento de blocos de criptografia):
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Pacotes de criptografia não PFS (segredo de encaminhamento perfeito):
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
Se os pacotes de criptografia que estão na lista de blocos estiverem listados na parte superior da lista, clientes e navegadores HTTP/2 poderão não conseguir negociar nenhum pacote de criptografia compatível com HTTP/2. Isso resulta em uma falha ao usar o protocolo.
Por exemplo, ao usar o Chrome, você pode receber o erro ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.
A ordenação padrão no Windows Server 2016 é compatível com a preferência do pacote de criptografia HTTP/2. Além disso, essa ordenação é boa além de HTTP/2, pois favorece pacotes de criptografia que têm as características de segurança mais fortes. Portanto, a ordenação padrão garante que o HTTP/2 no Windows Server 2016 não tenha problemas de negociação do pacote de criptografia com navegadores e clientes.
Solução alternativa
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.
Se ocorrer falha ao usar o protocolo, você deverá desabilitar HTTP/2 temporariamente enquanto reordena os pacotes de criptografia.
Para habilitar e desabilitar HTTP/2, siga estas etapas:
- Inicie regedit (Editor do Registro).
- Mova para esta subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
. - Defina o valor do tipo DWORD EnableHttp2Tls como um dos seguintes:
- Defina-o como 0 para desabilitar HTTP/2.
- Defina o valor como 1 para habilitar HTTP/2.
- Reinicie o computador.
Referências
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de