Introdução
Este artigo descreve uma atualização para adicionar suporte para segurança de camada de transporte (TLS) 1.1 e o TLS 1.2 do Windows Embedded Compact 2013.
Esta atualização adiciona o suporte necessário para código de assinatura criptográficos binários usando valores de hash SHA256 e atualizada a impressão digital de assinatura do provedor de serviço criptográfico do Windows CE.
Resumo
Ativar o TLS 1.1 e o TLS 1.2
Por padrão, o TLS 1.1 e 1.2 são habilitadas quando o dispositivo Windows Embedded Compact 2013 está configurado como um cliente usando as configurações do navegador. Os protocolos são desativados quando o dispositivo Windows Embedded Compact 2013 está configurado como um servidor web.
As seções a seguir, discutiremos as chaves do registro que você pode usar para habilitar ou desabilitar o TLS 1.1 e o TLS 1.2.
TLS 1.1
A seguinte subchave controla o uso de TLS 1.1:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Para desativar o protocolo TLS 1.1, crie a entrada DWORD ativado na subchave apropriada e, em seguida, altere o valor DWORD para 0. Para reativar o protocolo, altere o valor DWORD como 1. Por padrão, essa entrada não existe no registro.
Observação:Para habilitar e negociar o TLS 1.1, você deve criar a entrada DWORD DisabledByDefault na subchave apropriada (cliente, servidor) e, em seguida, altere o valor DWORD para 0.
TLS 1.2
A seguinte subchave controla o uso do TLS 1.2:
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Para desativar o protocolo TLS 1.2, crie a entrada DWORD ativado na subchave apropriada e, em seguida, altere o valor DWORD para 0. Para reativar o protocolo, altere o valor DWORD como 1. Por padrão, essa entrada não existe no registro.
Observação:Para habilitar e negociar o TLS 1.2, você deve criar a entrada DWORD DisabledByDefault na subchave apropriada (cliente, servidor) e, em seguida, altere o valor DWORD para 0.
Avisoo valor DisabledByDefault nas chaves do registro sob a chave de protocolos não têm precedência sobre o valor grbitEnabledProtocols definido na estrutura SCHANNEL_CRED que contém os dados para um Schannel credencial.
Observação:PeloSolicitações de comentários(RFC), a implementação do projeto não permite ser ativadas ao mesmo tempo o SSL2 e o TLS 1.2.
Informações adicionais
As seções a seguir fornecem detalhes adicionais sobre o TLS 1.1 e 1.2.
Conjuntos de codificação suportados apenas por TLS 1.2
Os seguintes conjuntos de codificação adicionados recentemente são suportados apenas por TLS 1.2:
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(Opcional) Este DWORD contém uma sequência de bits que representa os protocolos específicos. Os protocolos são suportados por conexões feitas usando as credenciais que são adquiridas por meio dessa estrutura.
A tabela a seguir mostra os sinalizadores de possíveis adicionais que pode conter esse membro.
Valor |
Descrição |
SP_PROT_TLS1_2_CLIENT |
Cliente 1.2 de segurança de camada de transporte. |
SP_PROT_TLS1_2_SERVER |
No servidor 1.2 de segurança de camada de transporte |
SP_PROT_TLS1_1_CLIENT |
Cliente 1.1 de segurança de camada de transporte. |
SP_PROT_TLS1_1_SERVER |
No servidor 1.1 de segurança de camada de transporte |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
Esse conjunto de sinalizadores de bit que indica o tipo de buffer. A tabela a seguir mostra os sinalizadores disponíveis adicionais de TLS 1.2:
Sinalizador |
Descrição |
SECBUFFER_ALERT |
O buffer contém uma mensagem de alerta. |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
Isso designa o protocolo que é usado para estabelecer esta conexão. A tabela a seguir mostra adicionais constantes válidas para este membro:
Valor |
Descrição |
SP_PROT_TLS1_2_CLIENT |
Cliente 1.2 de segurança de camada de transporte. |
SP_PROT_TLS1_2_SERVER |
No servidor 1.2 de segurança de camada de transporte |
SP_PROT_TLS1_1_CLIENT |
Cliente 1.1 de segurança de camada de transporte. |
SP_PROT_TLS1_1_SERVER |
No servidor 1.1 de segurança de camada de transporte |
Impressão digital do Microsoft Windows CE Cryptographic Service Provider assinatura
A impressão digital do Microsoft Windows CE Cryptographic Service Provider assinatura é atualizada no Windows Embedded Compact 2013. O período de validade para o certificado de assinatura de código é alterado da seguinte maneira.
Antigo período de validade
02/15/2017 - 05/09/2018
Novo período de validade
09/06/2018 - 09/06/2019
Informações de atualização do software
Informações sobre o download
Windows Embedded Compact 2013 atualização mensal de (outubro de 2018) foi disponibilizada pela Microsoft. Para baixar essa atualização, vá para Microsoft OEM Online ou MyOEM.
Pré-requisitos
Essa atualização será compatível apenas se todas as atualizações lançadas anteriormente para esse produto também tiverem sido instaladas.
Necessidade de reinicialização
Após aplicar esta atualização, você deverá executar uma compilação limpa de toda a plataforma. Para fazer isso, utilize um dos métodos seguintes:
-
No menu Compilar, selecione Limpar Solução e depois Compilar Solução.
-
No menu Compilar, selecione Recompilar Solução.
Você não precisa reiniciar o computador após aplicar essa atualização de software.
Informações sobre a substituição da atualização
Essa atualização não substitui nenhuma outra.
Referências
Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.