Comment désactiver PCT 1.0, SSL 2.0, SSL 3.0 ou TLS 1.0 dans IIS (Internet Information Services)


Nous conseillons vivement à tous les utilisateurs de passer à Microsoft Internet Information Services (IIS) version 7.0 sous Microsoft Windows Server 2008. IIS 7.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus d'informations sur les questions liées à la sécurité avec IIS, reportez-vous au site Web de Microsoft à l'adresse suivante  :Pour plus d'informations sur IIS 7.0, visitez le site Web Microsoft suivant :

Résumé


Vous pouvez utiliser HTTPS pour vous connecter à l'un des éléments suivants :
  • Microsoft Internet Information Server (IIS) versions 3.0. et ultérieures
  • Microsoft Internet Information Services (IIS) versions 5.0. et ultérieures
Lorsque vous vous connectez, le client et le serveur négocient un protocole commun pour contribuer à sécuriser le canal. Si le serveur et le client ont en commun plusieurs protocoles, IIS tente de sécuriser le canal avec l'un des protocoles pris en charge par IIS. Le protocole utilisé par IIS est sélectionné dans l'ordre de préférence suivant :
  1. PCT 1.0
  2. SSL 3.0
  3. SSL 2.0
Vous souhaiterez parfois désactiver un ou plusieurs de ces protocoles. Pour ce faire, modifiez le registre.

Remarque Sous Windows Server 2008, PCT 1.0 n'est pas une option configurable, et vous ne devez pas redémarrer le serveur.

Plus d'informations


Microsoft Windows NT Server enregistre les informations sur différents protocoles de canal sécurisés pris en charge par Windows NT Server. Ces informations sont stockées dans la clé de Registre suivante :

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

En règle générale, cette clé contient les sous-clés suivantes :
  • PCT 1.0
  • SSL 2.0
  • SSL 3.0
  • TLS 1.0
Chaque clé contient des informations sur le protocole la concernant. Chacun de ces protocoles peut être désactivé au niveau du serveur. Pour ce faire, créez une nouvelle valeur DWORDdans la sous-clé serveur du protocole. Attribuez au paramètre DWORD la valeur « 00 00 00 00. »


Remarque Par défaut, PCT n'est pas activé sous Microsoft Windows Server 2003.

Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Procédure de sauvegarde, de modification et de restauration du Registre dans Windows XP


Pour plus d'informations sur la procédure à suivre pour modifier le Registre, consultez la rubrique d'aide « Modification des clés et des valeurs » dans l'Éditeur du Registre. Reportez-vous également aux rubriques d'aide « Ajout et suppression d'informations dans le Registre » et « Modification des données du registre » dans l'Éditeur du Registre.

Pour que nous puissions désactiver PCT 1.0, SSL 2.0, SSL 3.0 ou TLS 1.0 pour vous, passez à la section « Aidez-moi ». Si vous préférez résoudre le problème vous-même, consultez la section « Je résous le problème moi-même ».

Aidez-moi



Pour résoudre ce problème automatiquement, cliquez sur le bouton ou le lien Résolution. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, et suivez la procédure indiquée par l'Assistant Résolution.




Remarques
  • Cet Assistant peut n'exister qu'en anglais. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.
  • Si vous n'utilisez pas l'ordinateur concerné, vous pouvez enregistrer la solution sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.

Consultez ensuite la section « Le problème est-il résolu ? ».



Je résous le problème moi-même



Pour désactiver le protocole PCT 1.0 pour que IIS ne tente pas de l'utiliser pour négocier, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez regedt32 ou regedit, puis cliquez sur OK.
  2. Dans l'Éditeur du Registre, recherchez la clé de Registre suivante :

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\PCT 1.0\Server
  3. Dans le menu Edition, cliquez sur Ajouter une valeur.
  4. Dans la liste Type de données, cliquez sur DWORD.
  5. Dans la zone Nom de la valeur, tapez Activé, puis cliquez sur OK.


    Remarque Si cette valeur existe déjà, double-cliquez dessus pour modifier sa valeur actuelle.
  6. Tapez 00000000 dans Éditeur binaire pour définir la valeur de la nouvelle clé sur « 0 ».
  7. Cliquez sur OK. Redémarrez votre ordinateur.

Le problème est-il résolu ?

  • Vérifiez que le problème est résolu. Si c'est le cas, vous n'avez plus besoin de cette section. Sinon, vous pouvez contacter l'assistance.
  • Vos commentaires sont les bienvenus. Pour nous faire part de vos commentaires ou d'un problème concernant cette solution, écrivez-nous sur le blog « Aidez-moi » ou envoyez-nous un courrier électronique.

Références


Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

245030 Comment limiter l'utilisation de certains algorithmes et protocoles cryptographiques dans Schannel.dll