Come distribuire l'ordinamento personalizzato della suite di crittografia in Windows Server 2016

  • Articolo

Questo articolo fornisce informazioni utili per distribuire l'ordinamento personalizzato della suite di crittografia per Schannel in Windows Server 2016.

Si applica a: Windows Server 2016
Numero KB originale: 4032720

Riepilogo

Per distribuire un ordine personalizzato della suite di crittografia per Schannel in Windows, è necessario classificare in ordine di priorità i pacchetti di crittografia compatibili con HTTP/2 elencandoli per primi.To deploy your own cipher suite ordering for Schannel in Windows, you must prioritize cipher suites that are compatible with HTTP/2 by listing these first. I pacchetti di crittografia presenti nell'elenco di blocchi HTTP/2 (RFC 7540) devono essere visualizzati nella parte inferiore dell'elenco. Ad esempio:

Pacchetti di crittografia in modalità CBC (Cipher Block Chaining):

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Suite di crittografia non PFS (segretezza avanzata perfetta):

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Se i pacchetti di crittografia presenti nell'elenco di blocchi sono elencati nella parte superiore dell'elenco, i client e i browser HTTP/2 potrebbero non essere in grado di negoziare una suite di crittografia compatibile con HTTP/2. In questo modo si verifica un errore nell'uso del protocollo.

Ad esempio, quando si usa Chrome, è possibile che venga visualizzato l'errore ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

L'ordinamento predefinito in Windows Server 2016 è compatibile con le preferenze della suite di crittografia HTTP/2. Inoltre, questo ordinamento è valido oltre HTTP/2, perché favorisce le suite di crittografia che hanno le caratteristiche di sicurezza più forti. Di conseguenza, l'ordinamento predefinito garantisce che HTTP/2 in Windows Server 2016 non presenti problemi di negoziazione della suite di crittografia con browser e client.

Soluzione alternativa

Importante

In questa sezione, nei passaggi del metodo o dell'attività viene illustrata la modalità di modifica del Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Se si verifica un errore di utilizzo del protocollo, è necessario disabilitare temporaneamente HTTP/2 durante il riordinamento delle suite di crittografia.

Per abilitare e disabilitare HTTP/2, seguire questa procedura:

  1. Avviare regedit (Editor del Registro di sistema).
  2. Passare a questa sottochiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Impostare il valore del tipo DWORD EnableHttp2Tls su uno dei valori seguenti:
    • Impostarlo su 0 per disabilitare HTTP/2.
    • Impostare il valore su 1 per abilitare HTTP/2.
  4. Riavviare il computer.

Riferimenti