Escolha os conjuntos de cifras corretos no Schannel.dll

Configurar o servidor corretamente no Windows é importante se você deseja garantir que está realmente usando os algoritmos de criptografia para proteger os dados que vão do cliente (navegador da web) para o servidor e vice-versa.

Nesta página, temos algumas informações básicas sobre como escolher o Cipher Suite certo para usar com seu Windows Server e também como configurá-lo. É uma boa ideia ativar apenas aqueles que você vai usar e desativar o resto. Observe também que SSL 2.0 e outros podem não estar ativados por padrão.

Noções básicas sobre conjuntos de criptografia e Schannel.dll

Antes de chegar ao que você precisa fazer para alterar quais Cipher Suites são usadas e quais Algoritmos e Protocolos Criptográficos são usados, vamos explicar brevemente o arquivo Schannel.dll, incluindo como ele usa Cipher Suites para determinar quais protocolos de segurança usar . Isso é configurado no Registro do Windows e não é difícil de fazer. As instruções variam um pouco dependendo do sistema operacional e do servidor da web que você está usando.

O que é um arquivo Schannel.dll?

Simplificando, Schannel.dll é uma biblioteca que é o principal TLS/ SSL Provedor de segurança. Significa Secure Channel e é usado por servidores da Web da Microsoft, incluindo Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 e outros, incluindo os mais antigos como Windows XP e Windows NT até. Teremos mais informações sobre as diferenças abaixo, mas por enquanto apenas saiba que Schannel.dll é usado para determinar qual protocolo usar.

O que é um conjunto de criptografia?

Um conjunto de cifras nada mais é do que um conjunto de algoritmos criptográficos. Os protocolos Schannel usam os vários algoritmos de um conjunto de criptografia específico para criar chaves e criptografar informações. Em geral, um conjunto de criptografia especificará um algoritmo para cada uma das três tarefas a seguir:

  • Troca de chaves - Esses algoritmos são assimétricos (algoritmos de chave pública) e funcionam bem com pequenas quantidades de dados. Eles são usados ​​para proteger as informações necessárias para criar chaves compartilhadas para transações seguras.
  • Criptografia em massa - Esta tarefa criptografará as mensagens trocadas entre clientes e servidores. Esses algoritmos são simétricos e tendem a funcionar muito bem, mesmo com grandes quantidades de dados sendo transferidos.
  • Autenticação de mensagem - Esses algoritmos geram mensagem hashes e assinaturas que garantem a integridade de uma mensagem.

Todos os itens acima usam ALG_ID - um tipo de dados que especifica um identificador de algoritmo - para permitir que o sistema operacional saiba qual Cipher Suite usar. Você pode ver uma lista de todos os Cipher Suites disponíveis para Schannel.dll no site da Microsoft SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Alterando os conjuntos de cifras no Schannel.dll

Agora que você sabe um pouco mais sobre pacotes de criptografia e Schannel.dll, é hora de revisar como alterar quais algoritmos e protocolos criptográficos são realmente usados. É importante observar que, mesmo se você alterar o que o Schannel.dll usa, o software que você usará também deverá oferecer suporte aos protocolos. Aqui está uma lista dos vários sistemas operacionais Windows que você pode usar como servidor.

  • 2012 padrão Windows Server
  • Windows Server Datacenter 2012
  • O Windows Server Enterprise 2008 R2
  • O Windows Server Standard 2008 R2
  • Windows Server Datacenter 2008 R2
  • 7 Windows Enterprise
  • Janelas 7 Professional
  • O Windows Server Enterprise 2008
  • 2008 padrão Windows Server
  • Windows Server Datacenter 2008
  • 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
  • 2003 Microsoft Windows Server, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Edição Web
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2000
  • Servidor Avançado Microsoft Windows 2000
  • Microsoft Windows 2000 Edição Profissional
  • Microsoft Windows NT Server 4.0 Edição Padrão
  • Microsoft Windows NT Server 4.0 Edição Empresarial
  • Microsoft Windows NT Workstation 4.0 Developer Edition

Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003

Primeiro, veremos os sistemas operacionais Windows 2003 e anteriores. Para ativar e desativar diferentes protocolos, você deve primeiro usar o Regedt32.exe para localizar a seguinte chave do Registro:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL

A seguir, examinaremos as várias subchaves disponíveis - e onde você deseja fazer as alterações. Basicamente, para habilitar uma das opções abaixo, defina seus dados de valor DWORD como 0xffffffff ou defina-os como 0x0 para desabilitar essa subchave específica.

  • Protocolos SCHANNEL - Para permitir que o sistema use os protocolos que não serão negociados por padrão (como TLS 1.1 e TLS 1.2), altere os dados do valor DWORD do valor DisabledByDefault para 0x0 nas seguintes chaves de registro na chave Protocolos:
  • Subchave SCHANNELCiphers - A chave de registro Ciphers na chave SCHANNEL é usada para controlar o uso de algoritmos simétricos como DES e RC4. A seguir estão as chaves de registro válidas na chave Ciphers.
  • Subchave SCHANNEL / Hashes - A chave de registro Hashes na chave SCHANNEL é usada para controlar o uso de algoritmos de hash, como SHA-1 e MD5. A seguir estão as chaves de registro válidas na chave Hashes.
  • Subchave SCHANNEL / KeyExchangeAlgorithms - A chave de registro KeyExchangeAlgorithms na chave SCHANNEL é usada para controlar o uso de algoritmos de troca de chaves, como RSA. A seguir estão as chaves de registro válidas na chave KeyExchangeAlgorithms.

Fonte: Base de Conhecimento Microsoft

NOTA: Para que o arquivo Schannel.dll reconheça quaisquer alterações na chave do Registro SCHANNEL, você deve reiniciar o computador.

Windows 7, Windows Server 2008 e posterior

Para sistemas operacionais mais novos, o registro é um pouco diferente. Aqui estão as teclas com as quais você vai querer trabalhar para ativar ou desativar certos protocolos. Para habilitar um dos itens abaixo, defina seus dados de valor DWORD como dword: 00000001 ou defina-os como dword: 00000000 para desabilitar essa subchave específica.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
  • “EventLogging” = dword: 00000001
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
  • “DisabledByDefault” = dword: 00000001

O Windows Server 2008 suporta os seguintes protocolos:

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0

Windows Server 2008 R2 e Windows 7 suportam os seguintes protocolos:

  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
  • TLS 1.2

Fonte: Base de Conhecimento Microsoft

Note: Para que o arquivo Schannel.dll reconheça as alterações na chave do Registro SCHANNEL, o servidor deve ser reiniciado.

Estudo de caso: ativar TLS 1.2 Cifras no IIS 7.5, Server 2008 R2, Windows 7

Lá no Derek Seaman's Blog, ele veio com um script bacana do PowerShell em 2010 para ajudar a habilitar TLS 1.2 cifras - com criptografia AES-256 com hashes SHA-256.

Cipher Suites em Schannel.dll

Se você tiver alguma dúvida sobre o Cipher Suites no Schannel.dll ou qualquer outra coisa relacionada a certificados SSL e garantindo que os dados dos visitantes do seu site estão seguros o tempo todo, não hesite em nos contatar. Faremos o nosso melhor para responder às suas perguntas e apontar a direção certa.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.