Introducción
Este artículo describe una actualización para agregar compatibilidad para seguridad de la capa de transporte (TLS) 1.1 y 1.2 de TLS en 2013 de Windows Embedded Compact.
Esta actualización agrega la compatibilidad necesaria para la firma criptográficos binarios utilizando los valores de hash SHA256 código y actualiza la huella digital de firma del proveedor de servicios criptográficos de Windows CE.
Resumen
Habilitar TLS 1.1 y 1.2 de TLS
De forma predeterminada, TLS 1.1 y 1.2 se habilitan cuando el dispositivo de 2013 Compact incrustado de Windows está configurado como un cliente mediante la configuración del explorador. Los protocolos se deshabilitan cuando el dispositivo de 2013 Compact incrustado de Windows está configurado como un servidor web.
En las siguientes secciones, se describen las claves del registro que puede utilizar para habilitar o deshabilitar TLS 1.1 y 1.2 de TLS.
TLS 1.1
La subclave siguiente controla el uso de TLS 1.1:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Para deshabilitar el protocolo TLS 1.1, debe crear la entrada DWORD Enabled en la subclave apropiada y, a continuación, cambie el valor DWORD a 0. Para volver a habilitar el protocolo, cambie el valor DWORD a 1. De forma predeterminada, esta entrada no existe en el registro.
Nota: Para habilitar y negociar TLS 1.1, debe crear la entrada DWORD DisabledByDefault en la subclave apropiada (cliente, servidor) y, a continuación, cambie el valor DWORD a 0.
TLS 1.2
La subclave siguiente controla el uso de TLS 1.2:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Para deshabilitar el protocolo TLS 1.2, debe crear la entrada DWORD Enabled en la subclave apropiada y, a continuación, cambie el valor DWORD a 0. Para volver a habilitar el protocolo, cambie el valor DWORD a 1. De forma predeterminada, esta entrada no existe en el registro.
Nota: Para habilitar y negociar TLS 1.2, debe crear la entrada DWORD DisabledByDefault en la subclave apropiada (cliente, servidor) y, a continuación, cambie el valor DWORD a 0.
AdvertenciaEl valor DisabledByDefault en las claves del registro bajo la clave de los protocolos no tienen prioridad sobre el valor de grbitEnabledProtocols que se define en la estructura SCHANNEL_CRED que contiene los datos de un Schannel credencial.
Nota: Por elRequest for Comments(RFC), la implementación de diseño no permite SSL2 y 1.2 de TLS habilitarse al mismo tiempo.
Más información
En las secciones siguientes proporcionan detalles adicionales sobre TLS 1.1 y 1.2.
Conjuntos de cifrado compatibles con TLS 1.2 sólo
Los siguientes conjuntos de cifrados recién agregado sólo se admiten por 1,2 TLS:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(Opcional) Este valor de DWORD contiene una cadena de bits que representa los protocolos específicos. Los protocolos son compatibles con las conexiones que se realizan utilizando las credenciales que se adquieren por medio de esta estructura.
La siguiente tabla muestra las posibles marcas adicionales que puede contener este miembro.
Valor |
Descripción |
SP_PROT_TLS1_2_CLIENT |
Cliente 1.2 de seguridad de capa de transporte. |
SP_PROT_TLS1_2_SERVER |
Servidor 1.2 de seguridad de capa de transporte |
SP_PROT_TLS1_1_CLIENT |
Cliente 1.1 seguridad de capa de transporte. |
SP_PROT_TLS1_1_SERVER |
Servidor 1.1 seguridad de capa de transporte |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
Este conjunto de indicadores de bits indica el tipo de búfer. La tabla siguiente muestra los indicadores adicionales disponibles para TLS 1.2:
Indicador |
Descripción |
SECBUFFER_ALERT |
El búfer contiene un mensaje de alerta. |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
Esto designa el protocolo que se utiliza para establecer esta conexión. La siguiente tabla muestra las constantes válidas adicionales para este miembro:
Valor |
Descripción |
SP_PROT_TLS1_2_CLIENT |
Cliente 1.2 de seguridad de capa de transporte. |
SP_PROT_TLS1_2_SERVER |
Servidor 1.2 de seguridad de capa de transporte |
SP_PROT_TLS1_1_CLIENT |
Cliente 1.1 seguridad de capa de transporte. |
SP_PROT_TLS1_1_SERVER |
Servidor 1.1 seguridad de capa de transporte |
Huella digital criptográfica servicio proveedor firma de Microsoft Windows CE
La huella digital de Microsoft Windows CE criptográficos servicio firma del proveedor se actualiza en 2013 de Windows Embedded Compact. El período de validez de lo certificados de firma de código se cambia de la siguiente manera.
Período previo de validez
02/15/2017 - 05/09/2018
Nuevo período de validez
09/06/2018 - 09/06/2019
Información sobre la actualización de software
Información de descarga
El Embedded Compact 2013 actualización mensual de Windows (octubre de 2018) ahora está disponible de Microsoft. Para descargar esta actualización, vaya a OEM de Microsoft en línea o MyOEM.
Requisitos previos
Esta actualización sólo es compatible si se han instalado también todas las actualizaciones publicadas previamente para este producto.
Requisito de reinicio
Después de aplicar esta actualización, debe realizar una compilación limpia de toda la plataforma. Para ello, utilice uno de los métodos siguientes:
-
En el menú Compilar, seleccione Limpiar solución y luego Compilar solución.
-
En el menú Compilar, seleccione Recompilar solución.
No es necesario que reinicie el equipo después de aplicar esta actualización de software.
Información de reemplazo de la actualización
Esta actualización no sustituye a otras actualizaciones.
Referencias
Obtenga información sobre la terminología que usa Microsoft para describir las actualizaciones de software.