Cómo implementar la ordenación de conjuntos de cifrado personalizados en Windows Server 2016

  • Artículo

En este artículo se proporciona información para ayudarle a implementar el pedido de conjuntos de cifrado personalizados para Schannel en Windows Server 2016.

Se aplica a: Windows Server 2016
Número de KB original: 4032720

Resumen

Para implementar su propio pedido de conjunto de cifrado para Schannel en Windows, debe priorizar los conjuntos de cifrado compatibles con HTTP/2 al enumerar estos primeros. Los conjuntos de cifrado que se encuentran en la lista de bloques HTTP/2 (RFC 7540) deben aparecer en la parte inferior de la lista. Por ejemplo:

Conjuntos de cifrado de encadenamiento de bloques de cifrado (CBC):

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Conjuntos de cifrado sin PFS (confidencialidad directa perfecta):

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Si los conjuntos de cifrado que se encuentran en la lista de bloques aparecen en la parte superior de la lista, es posible que los clientes y exploradores HTTP/2 no puedan negociar ningún conjunto de cifrado compatible con HTTP/2. Esto produce un error al usar el protocolo.

Por ejemplo, al usar Chrome, puede recibir el error ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

El orden predeterminado en Windows Server 2016 es compatible con la preferencia del conjunto de cifrado HTTP/2. Además, este orden es bueno más allá de HTTP/2, ya que favorece los conjuntos de cifrado que tienen las características de seguridad más fuertes. Por lo tanto, la ordenación predeterminada garantiza que HTTP/2 en Windows Server 2016 no tendrá ningún problema de negociación del conjunto de cifrado con exploradores y clientes.

Solución alternativa

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

Si se produce el error al usar el protocolo, debe deshabilitar HTTP/2 temporalmente mientras reordena los conjuntos de cifrado.

Para habilitar y deshabilitar HTTP/2, siga estos pasos:

  1. Inicie regedit (Editor del Registro).
  2. Vaya a esta subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Establezca el valor de tipo DWORD EnableHttp2Tls en uno de los siguientes:
    • Establézcalo en 0 para deshabilitar HTTP/2.
    • Establézcalo en 1 para habilitar HTTP/2.
  4. Reinicie el equipo.

Referencias