[研究]Windows Server 2022關閉 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) 和 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024)的影響
2024-10-08
nmap掃描結果
TLSv1.2:
ciphers:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp521r1)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp521r1)
- TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048)
- TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048)
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024)
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024)
warnings:
Key exchange (dh 1024) of lower strength than certificate key
********************************************************************************
【敝人未驗證,僅供參考】
如果 Windows Server 2022 的 Web Server 僅提供下面4種 Cipher,那些用戶端 Windows 版本將無法連上 Web Serverv ?
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp521r1)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp521r1)
- TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048)
- TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048)
ChatGPT 說:
在你提供的情況下,Windows Server 2022 的 Web Server 僅支援這四種 Cipher 套件。它們分別為:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp521r1)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp521r1)
- TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048)
- TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048)
這些 Cipher 套件對應的客戶端要求如下:
- RSA-based Cipher Suites(如第三和第四條):較舊的 Windows 版本,如 Windows 7、Windows Vista 及 Windows XP,在預設配置下可能不支援這些高級的 Cipher。雖然 Windows 7 可通過更新支援 TLS 1.2,但其仍可能無法預設支援 GCM 模式或更高的 RSA 鍵長。
- ECDHE-based Cipher Suites(如第一和第二條):這些 Cipher 套件要求較新版本的 Windows 支援。Windows 7、Windows Vista、Windows XP(甚至通過更新後)通常不支援 secp521r1 橢圓曲線,因為它們的預設橢圓曲線只包含少數幾個常見的(例如 secp256r1)。Windows 8.1、Windows 10 以及更新版本才較可能預設支援這些 Cipher 套件和曲線。
可能無法連接到 Web Server 的客戶端 Windows 版本:
- Windows XP:不支援 TLS 1.2,無法與這些 Cipher 套件兼容。
- Windows Vista:預設不支援 TLS 1.2,也無法支援高級的 RSA 或 ECDHE Cipher 套件,無法連接。
- Windows 7(未更新):如果沒有啟用 TLS 1.2,無法支援這些 Cipher,即使啟用了 TLS 1.2,也可能無法支援 secp521r1 橢圓曲線。
- Windows 8:這些版本可能支援 TLS 1.2,但未必支援 secp521r1 橢圓曲線,因此對於 ECDHE 的 Cipher 套件會有問題。
- Windows 8.1 和更新的版本(例如 Windows 10、Windows 11):這些版本預設支援 TLS 1.2 並包括對這些 Cipher 套件的支援。
因此,Windows XP、Windows Vista、Windows 7 和 Windows 8 的某些版本可能無法連上你的 Web Server。
********************************************************************************
那些 Windows 作業系統支援下面 Cipher
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024)
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024)
ChatGPT 說:
這兩個 Cipher 套件使用 DHE (Diffie-Hellman Ephemeral) 密鑰交換,並分別提供 128 位元和256 位元 AES-GCM 加密。
對於這些 Cipher 套件的支援情況,取決於 Windows 作業系統對於 DHE 和 AES-GCM 加密的支援能力。
Cipher 套件:
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (DH 1024)
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (DH 1024)
支援這些 Cipher 套件的 Windows 作業系統版本:
- Windows 10 和更新版本(如 Windows 11):支援這些 Cipher 套件,因為它們支援 AES-GCM 和 DHE 密鑰交換,並且在安全協定中強制使用較高的 Diffie-Hellman 參數。
- Windows 8.1:支援 TLS 1.2 並包括 DHE 和 AES-GCM 套件,因此這些 Cipher 可以在此系統上正常運行。
- Windows Server 2012 R2 和更新版本:同樣支援這些 Cipher 套件,因為這些版本內建 TLS 1.2 和所需的加密演算法。
可能需要配置才能支援:
- Windows 7:預設不支援 DHE_RSA 套件,但透過更新和啟用 TLS 1.2,可以添加支援。不過,1024 位元的 Diffie-Hellman 參數可能需要進行系統設定調整。
- Windows 8:支援 TLS 1.2,但預設並不強化對 DHE 的支援,因此,DHE_RSA 的 Cipher 套件可能不完全受支援,並且也可能需要手動配置。
無法支援這些 Cipher 套件的 Windows 作業系統:
- Windows XP 和 Windows Vista:這些系統不支援 TLS 1.2,且無法支援這些高級 Cipher 套件,即使有更新也無法支援 AES-GCM 和 DHE。
總結:
- Windows 10 和更新版本:預設支援。
- Windows 8.1 和 Windows Server 2012 R2 及更新版本:預設支援。
- Windows 7 和 Windows 8:可能需要進行設定更新。
- Windows XP 和 Windows Vista:無法支援這些 Cipher 套件。
因此,使用較舊的 Windows 版本(例如 Windows 7 或更早版本)可能無法無縫支援這些 Cipher 套件,或需要進行更新和手動設定。
********************************************************************************
(完)
沒有留言:
張貼留言