Como implantar a ordenação do pacote de criptografia personalizada no Windows Server 2016

  • Artigo

Este artigo fornece informações para ajudá-lo a implantar a ordenação do pacote de criptografia personalizado para o Schannel no Windows Server 2016.

Aplica-se a: Windows Server 2016
Número original do KB: 4032720

Resumo

Para implantar sua própria ordenação de pacotes de criptografia para o Schannel no Windows, você deve priorizar os pacotes de criptografia compatíveis com HTTP/2 listando-os primeiro. Os pacotes de criptografia que estão na lista de bloqueios HTTP/2 (RFC 7540) devem aparecer na parte inferior da lista. Por exemplo:

Conjuntos de cifras do modo de encadeamento de blocos de criptografia (CBC):

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Conjuntos de cifras não PFS (sigilo de encaminhamento perfeito):

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Se os conjuntos de criptografia que estão na lista de bloqueio estiverem listados na parte superior da lista, os clientes e navegadores HTTP/2 podem não conseguir negociar nenhum pacote de criptografia compatível com HTTP/2. Isso resulta em uma falha no uso do protocolo.

Por exemplo, ao usar o Chrome, você pode receber o erro ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

A ordenação padrão no Windows Server 2016 é compatível com a preferência do pacote de criptografia HTTP/2. Além disso, essa ordenação é boa além do HTTP/2, pois favorece os pacotes de criptografia que possuem as características de segurança mais fortes. Portanto, a ordenação padrão garante que o HTTP/2 no Windows Server 2016 não tenha problemas de negociação do pacote de criptografia com navegadores e clientes.

Solução alternativa

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Se ocorrer uma falha no uso do protocolo, você deverá desabilitar o HTTP/2 temporariamente enquanto reordena os conjuntos de criptografia.

Para ativar e desativar o HTTP/2, siga estas etapas:

  1. Inicie o regedit (Editor do Registro).
  2. Vá para esta subchave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Defina o valor do tipo DWORD EnableHttp2Tls como um dos seguintes:
    • Defina-o como 0 para desativar o HTTP/2.
    • Defina seu valor como 1 para habilitar o HTTP/2.
  4. Reinicie o computador.

Referências