Pacotes de criptografia TLS no Windows 8.1
Os pacotes de criptografia só podem ser negociados para versões TLS que dão suporte a elas. A versão TLS com maior suporte sempre é preferida no handshake do TLS. Por exemplo, SSL_CK_RC4_128_WITH_MD5 só pode ser usado quando o cliente e o servidor não dão suporte a TLS 1.2, 1.1 & 1.0 ou SSL 3.0, pois só tem suporte com o SSL 2.0.
A disponibilidade de pacotes de criptografia deve ser controlada de duas maneiras:
- A ordem de prioridade padrão é substituída quando uma lista de prioridades é configurada. Os pacotes de criptografia que não estão na lista de prioridades não serão usados.
- Permitido quando o aplicativo passa SCH_USE_STRONG_CRYPTO: o provedor do Microsoft Schannel filtrará os conjuntos de criptografia fracos conhecidos quando o aplicativo usar o sinalizador SCH_USE_STRONG_CRYPTO. Em Windows 8.1, os pacotes de criptografia RC4 são filtrados.
Importante
Os serviços Web HTTP/2 falham com pacotes de criptografia não compatíveis com HTTP/2. Para garantir que seus serviços Web funcionem com clientes e navegadores HTTP/2, confira Como implantar a ordenação personalizada do pacote de criptografia.
A conformidade fips tornou-se mais complexa com a adição de curvas elípticas tornando o modo FIPS habilitado coluna em versões anteriores desta tabela enganosa. Por exemplo, um conjunto de criptografias, como TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, só é compatível com FIPS ao usar curvas elípticas NIST. Para descobrir quais combinações de curvas elípticas e pacotes de criptografia serão habilitados no modo FIPS, consulte a seção 3.3.1 de Diretrizes para a Seleção, Configuração e Uso de Implementações de TLS.
Windows 8.1 e Windows Server 2012 R2 são atualizados por Windows Update pela atualização 2919355 aplicada, que adiciona os novos conjuntos de criptografia e altera a ordem de prioridade. Os seguintes pacotes de criptografia estão habilitados e nessa ordem de prioridade por padrão pelo Provedor Schannel da Microsoft:
| Cadeia de caracteres do pacote de criptografia | Permitido por SCH_USE_STRONG_CRYPTO | Versões do protocolo TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 |
Sim |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 |
Sim |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 |
Sim |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
Sim |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
Yes |
TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
Sim |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
Sim |
TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_AES_128_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 |
Sim |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 |
Sim |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 |
Sim |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 |
Sim |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 |
Sim |
TLS 1.2 |
| TLS_DHE_DSS_WITH_AES_256_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_AES_128_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_3DES_EDE_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_SHA |
Não |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_RC4_128_MD5 |
Não |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_SHA256 Usado somente quando o aplicativo solicita explicitamente. |
Yes |
TLS 1.2 |
| TLS_RSA_WITH_NULL_SHA Usado somente quando o aplicativo solicita explicitamente. |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_RC4_128_WITH_MD5 Usado somente quando o aplicativo solicita explicitamente. |
Não |
SSL 2.0 |
| SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Usado somente quando o aplicativo solicita explicitamente. |
Yes |
SSL 2.0 |
Os seguintes pacotes de criptografia são compatíveis com o Provedor Schannel da Microsoft, mas não são habilitados por padrão:
| Cadeia de caracteres do pacote de criptografia | Permitido por SCH_USE_STRONG_CRYPTO | Versões do Protocolo TLS/SSL |
|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 |
Sim |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 |
Sim |
TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 |
Sim |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521 |
Yes |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521 |
Sim |
TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521 |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0 |
| TLS_RSA_WITH_DES_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA |
Não |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 |
Não |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_RSA_WITH_NULL_MD5 |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_WITH_DES_CBC_SHA |
Yes |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA |
Sim |
TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0 |
| SSL_CK_DES_64_CBC_WITH_MD5 |
Sim |
SSL 2.0 |
| SSL_CK_RC4_128_EXPORT40_WITH_MD5 |
Não |
SSL 2.0 |
Para adicionar conjuntos de criptografia, use a configuração de política de grupo Ordem do Pacote de Criptografia SSL em Configuração > do Computador Modelos Administrativos > Configurações de Configuração de SSL de Rede > para configurar uma lista de prioridades para todos os conjuntos de criptografias que você deseja habilitar.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de