Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet för IT-proffs beskriver hur TLS-protokollet (Transport Layer Security) fungerar och innehåller länkar till IETF RFCs för TLS 1.0, TLS 1.1 och TLS 1.2.
Note
I en framtida version av Windows Server inaktiveras TLS 1.0 och 1.1 som standard. Mer information finns i TLS-versionerna 1.0 och 1.1 inaktivera resurser.
TLS-protokollen (och SSL) finns mellan programprotokolllagret och TCP/IP-lagret, där de kan skydda och skicka programdata till transportskiktet. Eftersom protokollen fungerar mellan programskiktet och transportskiktet kan TLS och SSL ha stöd för flera protokoll på programnivå.
TLS och SSL förutsätter att en anslutningsorienterad transport, vanligtvis TCP, används. Protokollet gör det möjligt för klient- och serverprogram att identifiera följande säkerhetsrisker:
Meddelandemanipulering
Meddelandeavlyssning
Meddelandeförfalskning
TLS- och SSL-protokollen kan delas in i två skikt. Det första lagret består av programprotokollet och de tre handskakningsprotokollen: handskakningsprotokollet, protokollet för ändringskrypteringsspecifikation och aviseringsprotokollet. Det andra lagret är dataprotokollet.
TLS- och SSL-protokollskikt
Schannel SSP implementerar TLS- och SSL-protokollen utan ändringar. SSL-protokollet är proprietärt, men Internet Engineering Task Force producerar de offentliga TLS-specifikationerna. Information om vilken TLS- eller SSL-version som stöds i Windows-versioner finns i Protokoll i TLS/SSL (Schannel SSP). Varje specifikation innehåller information om:
TLS-recordprotokollet
TLS-handskakningsprotokoll: – Ändra chifferspecifikationsprotokoll – Aviseringsprotokoll
Kryptografiska beräkningar
Obligatoriska krypteringssviter
Protokoll för applikationsdata
RFC 5246 – TLS-protokollet (Transport Layer Security) version 1.2
RFC 4346 – TLS-protokollet (Transport Layer Security) version 1.1
RFC 2246 – TLS Protocol version 1.0
Återupptagande av TLS-session
Schannel SSP introducerades i Windows Server 2012 R2 och implementerade serverdelen av återupptagandet av TLS-sessionen. Implementeringen på klientsidan av RFC 5077 lades till i Windows 8.
Enheter som ansluter TLS till servrar behöver ofta återansluta. Återupptagande av TLS-sessioner minskar kostnaden för att upprätta TLS-anslutningar eftersom återupptagandet omfattar en förkortad TLS-handskakning. Detta underlättar fler återupptagningsförsök genom att låta en grupp TLS-servrar återuppta varandras TLS-sessioner. Den här ändringen ger följande besparingar för alla TLS-klienter som stöder RFC 5077, inklusive Windows Phone- och Windows RT-enheter:
Minskad resursanvändning på servern
Minskad bandbredd, vilket förbättrar effektiviteten för klientanslutningar
Kortare tid för TLS-handskakningen på grund av återupptaganden av anslutningen
Information om tillståndslös återupptagning av TLS-sessioner finns i IETF-dokumentet RFC 5077.
Förhandlingar om programprotokoll
Windows Server 2012 R2 och Windows 8.1 introducerade stöd som tillåter förhandlingar med TLS-programprotokoll på klientsidan. Program kan använda protokoll som en del av HTTP 2.0-standardutvecklingen och användare kan komma åt onlinetjänster som Google och Twitter med hjälp av appar som kör SPDY-protokollet.
Mer information om hur förhandlingar om programprotokoll fungerar finns i TLS-tillägget (Transport Layer Security) Application Layer Protocol Negotiation Extension.
TLS-stöd för tillägg för servernamnsindikatorer
Funktionen SNI (Server Name Indication) utökar SSL- och TLS-protokollen så att servern kan identifieras korrekt när flera virtuella avbildningar körs på en enda server. I ett virtuellt värdscenario finns flera domäner (var och en med ett eget potentiellt distinkt certifikat) på en server. I det här fallet har servern inget sätt att veta i förväg vilket certifikat som ska skickas till klienten. Med SNI kan klienten informera måldomänen tidigare i protokollet, vilket gör att servern kan välja rätt certifikat korrekt.
Detta ger följande ytterligare funktioner:
Gör att du kan vara värd för flera SSL-webbplatser i en enda kombination av InternetProtokoll och portar
Minskar minnesanvändningen när flera SSL-webbplatser finns på en enda webbserver
Gör att fler användare kan ansluta till SSL-webbplatser samtidigt