一、TLS/SSL(Schannel SSP)加密套件简介
TLS/SSL(Schannel SSP)加密套件是一组密码编译演算法。TLS/SSL 通讯协定的安全通道SSP 实作会使用加密套件中的演算法来建立金钥和加密资讯。加密套件会为下列每个工作指定一种演算法:
- 密钥交换 密钥交换演算法可 保护建立共用金钥所需的资讯。这些演算法是非对称的(公开金钥演算法,) 并针对相对少量的资料执行良好。
- 大量加密 大量加密演算法会加密用户端与伺服器之间交换的讯息。这些演算法是 对称 的,而且适用于大量资料。
- 讯息验证 讯息验证演算法会产生讯息杂凑和签名,以确保讯息的完整性。
在旧版Windows中,TLS 加密套件和椭圆曲线是使用单一字串来设定:
二、Windows 支持的TLS/SSL协议
Windows 2022和Windows 11开始支持TLS 1.3 客户端和服务器。仍然向下兼容支持TLS 1.0 客户端和服务器。DTLS是从Windows 10版本 1607/Windows Server 2016 Standard 开始支持DTLS 1.2客户端和服务器。
不同的Windows版本支援不同的TLS 加密套件和优先顺序。本文将会比较windows 2022和windows 11加密套件,基本上是一致的:
Microsoft 安全通道还支援下列加密套件,但预设不会启用:
预设会启用下列PSK 加密套件,而且预设会使用Microsoft 安全通道提供者,依此优先顺序执行:
以上就是在工作中整理出的Windows 加密套件的一些资料。
三、Windows关闭低版本TLS协议
如需要单独关闭TLS 1.0和TLS 1.1,可以修改注册表设定:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
修改注册表后,需要重启生效。以上就是工作中遇到的TLS相关的整理汇总的资料,供大家参考。