Exportar (0) Imprimir
Expandir Tudo

Novidades no TLS/SSL (SSP Schannel)

Publicado: fevereiro de 2012

Atualizado: março de 2012

Aplica-se a: Windows 8, Windows Server 2012

Este tópico para profissionais de TI descreve as alterações na funcionalidade SSP (Provedor de Suporte de Segurança) Schannel, que inclui os protocolos de autenticação TLS, SSL e DTLS para o Windows Server 2012 e para o Windows 8.

Schannel é um SSP que implementa os protocolos de autenticação padrão da Internet SSL, TLS e DTLS.

A Interface SSPI é uma API usada por sistemas Windows para executar funções relacionadas à segurança, incluindo autenticação. A SSPI funciona como uma interface comum para vários SSPS, incluindo o SSP Schannel.

Para obter mais informações sobre a implementação de TLS e SSL da Microsoft no SSP Schannel, consulte o artigo de referência técnica de TLS/SSL (2003).

Os itens a seguir descrevem o que foi alterado em termos de funcionalidade no SSP Schannel em relação ao Windows Server 2008 R2 e ao Windows 7.

O recurso de Indicação do Nome do Servidor estende os protocolos SSL e TLS para permitir identificação adequada do servidor quando diversas imagens virtuais são executadas em um único servidor. Para proteger corretamente a comunicação entre um computador cliente e um servidor, o computador cliente solicita um certificado digital do servidor. Após o servidor responder ao pedido e enviar o certificado, o computador cliente o analisa, usa para criptografar a comunicação e prossegue com a troca normal de solicitação e resposta. No entanto, em um cenário de hospedagem virtual, vários domínios, cada um com o seu próprio certificado potencialmente distinto, são hospedados em um servidor. Nesse caso, o servidor não tem como saber previamente qual certificado enviar para o computador cliente. O SNI permite que o computador cliente informe o domínio de destino antecipadamente no protocolo, e isso permite que o servidor selecione corretamente o certificado adequado.

Qual o valor que esta alteração adiciona?

Esta funcionalidade adicional:

  • Permite hospedar vários sites SSL em uma única combinação de IP e porta

  • Reduz o uso de memória quando diversos sites SSL são hospedados em um único servidor Web

  • Permite que mais usuários se conectem aos meus sites SSL simultaneamente

  • Permite que você forneça dicas para usuários finais através da interface do computador para selecionar o certificado correto durante um processo de autenticação do cliente.

O que passou a funcionar de maneira diferente?

O SSP Schannel mantém um cache na memória dos estados de conexão permitidos para clientes. Isso permite que os computadores cliente se reconectem rapidamente ao servidor SSL sem se sujeitarem a um handshake SSL completo em visitas subsequentes. Esse uso eficiente do gerenciamento de certificados permite que mais sites sejam hospedados em um único Windows Server 2012, em comparação com versões de sistemas operacionais anteriores.

A seleção do certificado por parte do usuário final foi melhorada, ao permitir que você construa uma lista de nomes prováveis de emissores de certificado que fornecem dicas ao usuário final sobre qual escolher. Essa lista é configurável usando a Política de Grupo.

O protocolo DTLS versão 1.0 foi adicionado ao Provedor de Suporte de Segurança Schannel. O protocolo DTLS proporciona privacidade nas comunicações para protocolos de datagrama. O protocolo permite que os aplicativos cliente/servidor se comuniquem de uma maneira concebida para impedir a espionagem, sabotagem ou falsificação de mensagem. O protocolo DTLS baseia-se no protocolo Transport Layer Security (TLS) e fornece garantias de segurança equivalentes, reduzindo a necessidade de usar o IPsec ou criar um protocolo personalizado de segurança de camada de aplicativos.

Qual o valor que esta alteração adiciona?

Datagramas são comuns em mídia de streaming, tais como jogos ou videoconferência segura. Adicionar o protocolo DTLS ao provedor Schannel possibilita usar o modelo de SSPI familiar do Windows para proteger as comunicações entre computadores cliente e servidores. O DTLS foi deliberadamente concebido para ser o mais semelhante possível ao TLS, tanto para minimizar novas invenções de segurança quanto para maximizar a reutilização de código e infraestrutura.

O que passou a funcionar de maneira diferente?

Os aplicativos que usam DTLS em UDP podem usar o modelo SSPI no Windows Server 2012 e no Windows 8. Alguns pacotes de codificações estão disponíveis para configuração, de maneira semelhante à forma como se configura o TLS. O Schannel continua a usar o provedor de criptografia CNG, que usa a certificação FIPS 140, introduzida no Windows Vista.

No SSP Schannel para Windows Server 2012 e Windows 8, nenhum recurso/funcionalidade foi preterido.

A tabela fornece recursos adicionais para avaliar o Provedor de Suporte de Segurança Schannel, TLS e SSL.

 

Tipo de conteúdo Referências

Avaliação do produto

Visão geral do TLS/SSL (Schannel SSP)

Recursos da comunidade

Modelo de segurança de nuvem privada - funcionalidade Wrapper

Tecnologias relacionadas

Visão geral dos Serviços de Certificados do Active Directory

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft