Наборы шифров TLS в Windows 10 версии 1507

Наборы шифров могут быть согласованы только для версий TLS, которые поддерживают их. Наиболее поддерживаемая версия TLS всегда предпочтительна в подтверждении TLS. Например, SSL_CK_RC4_128_WITH_MD5 можно использовать только в том случае, если клиент и сервер не поддерживают TLS 1.2, 1.1 и 1.0 или SSL 3.0, так как он поддерживается только с SSL 2.0.

Доступность наборов шифров должна контролироваться одним из двух способов:

• Порядок приоритета по умолчанию переопределяется при настройке списка приоритетов. Наборы шифров, не входящие в список приоритетов, не будут использоваться.
• Разрешено, когда приложение проходит SCH_USE_STRONG_CRYPTO: поставщик Microsoft Schannel отфильтрует известные слабые наборы шифров, когда приложение использует флаг SCH_USE_STRONG_CRYPTO. В Windows 10 версии 1507 наборы шифров RC4 отфильтровываются.

Важно!

Сбой веб-служб HTTP/2 с наборами шифров, совместимыми с HTTP/2. Чтобы убедиться, что веб-службы работают с клиентами и браузерами HTTP/2, см. инструкции по развертыванию упорядочения пользовательских наборов шифров.

 

Соответствие FIPS стало более сложным с добавлением многоточийных кривых, что делает столбец с включенным режимом FIPS в предыдущих версиях этой таблицы вводящим в заблуждение. Например, набор шифров, например TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, соответствует только FIPS при использовании многоточийных кривых NIST. Чтобы узнать, какие сочетания эллиптических кривых и наборов шифров будут включены в режиме FIPS, см. в разделе 3.3.1 руководства по выбору, настройке и использованию реализаций TLS.

Для Windows 10 версии 1507 следующие наборы шифров включены и в этом порядке приоритета по умолчанию используются поставщик microsoft Schannel:

Строка набора шифров	Разрешено SCH_USE_STRONG_CRYPTO	Версии протокола TLS/SSL
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	Да	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	Да	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	Да	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	Да	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	Да	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	Да	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_RSA_WITH_AES_128_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_256_GCM_SHA384	Да	TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256	Да	TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256	Да	TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256	Да	TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_AES_128_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	Да	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	Да	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	Да	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	Да	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256	Да	TLS 1.2
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256	Да	TLS 1.2
TLS_DHE_DSS_WITH_AES_256_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_AES_128_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_RSA_WITH_3DES_EDE_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_SHA	No	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_RC4_128_MD5	No	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_NULL_SHA256 Используется только при явном запросе приложения.	Да	TLS 1.2
TLS_RSA_WITH_NULL_SHA Используется только при явном запросе приложения.	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL_CK_RC4_128_WITH_MD5 Используется только при явном запросе приложения.	No	SSL 2.0
SSL_CK_DES_192_EDE3_CBC_WITH_MD5 Используется только при явном запросе приложения.	Да	SSL 2.0

 

Следующие наборы шифров поддерживаются поставщиком Microsoft Schannel, но не включены по умолчанию:

Строка набора шифров	Разрешено SCH_USE_STRONG_CRYPTO	Версии протокола TLS/SSL
TLS_RSA_WITH_DES_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA	No	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_EXPORT_WITH_RC4_40_MD5	No	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_RSA_WITH_NULL_MD5 Используется только при явном запросе приложения.	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_WITH_DES_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA	Да	TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0
SSL_CK_DES_64_CBC_WITH_MD5	Да	SSL 2.0
SSL_CK_RC4_128_EXPORT40_WITH_MD5	No	SSL 2.0

 

Чтобы добавить наборы шифров, разверните групповую политику или используйте командлеты TLS:

• Чтобы использовать групповую политику, настройте порядок ssl-шифров в разделе "Конфигурация > компьютера" Администратор istrative templates > Network > SSL Configuration Параметры со списком приоритетов для всех наборов шифров, которые вы хотите включить.
• Сведения об использовании PowerShell см. в разделе командлетов TLS.

Примечание.

До Windows 10 строки набора шифров были добавлены с многоточием для определения приоритета кривой. Windows 10 поддерживает параметр приоритета с многоточием кривой, поэтому суффикс суффикс многоточия кривой не требуется и переопределяется новым порядком приоритета эллиптических кривых, если указано, чтобы организации могли использовать групповую политику для настройки разных версий Windows с одинаковыми наборами шифров.

 

Важно!

Веб-службы HTTP/2 несовместимы с пользовательскими заказами набора шифров TLS. Дополнительные сведения см. в статье "Развертывание порядка набора пользовательских шифров".