Mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles de sécurité par défaut de WinHTTP dans Windows

S’applique à : Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials

Cette mise à jour fournit la prise en charge de la sécurité TLS (Transport Layer) 1.1 et TLS 1.2 dans Windows Server 2008 R2 SP1, Windows 7 Service Pack 1 (SP1) et Windows Server 2012.

À propos de cette mise à jour


Applications et services qui sont écrits à l’aide de WinHTTP pour les connexions Secure Sockets Layer (SSL) qui utilisent l’indicateur WINHTTP_OPTION_SECURE_PROTOCOLS ne pouvez pas utiliser les protocoles TLS 1.1 ou TLS 1.2. C’est parce que la définition de cet indicateur n’inclut pas ces applications et ces services.

Cette mise à jour ajoute la prise en charge de l’entrée de Registre DefaultSecureProtocols qui permet à l’administrateur système spécifier les protocoles SSL doivent être utilisés lorsque l’indicateur WINHTTP_OPTION_SECURE_PROTOCOLS est utilisé.

Cela permet à certaines applications qui ont été créées pour utiliser l’indicateur par défaut WinHTTP de pouvoir tirer parti des protocoles les plus récents TLS 1.2 ou TLS 1.1 en mode natif sans avoir besoin de mises à jour de l’application.

C’est le cas de certaines applications Microsoft Office lorsqu’ils ouvrent des documents à partir d’une bibliothèque SharePoint ou un dossier Web, tunnels IP-HTTPS pour la connectivité de DirectAccess et autres applications à l’aide de technologies telles que WebClient à l’aide de WebDav, WinRM, et d’autres personnes.

Cette mise à jour requiert que le composant de Secure Channel (Schannel) dans Windows 7 est configuré pour prendre en charge TLS 1.1 et 1.2. Comme ces versions de protocole ne sont pas activées par défaut dans Windows 7, vous devez configurer les paramètres du Registre pour les applications Office d’utiliser avec succès le TLS 1.1 et 1.2.

Cette mise à jour ne modifie pas le comportement des applications que vous définissez manuellement les protocoles sécurisés au lieu de passer l’indicateur par défaut.

Comment obtenir cette mise à jour


Important Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, voir Ajouter des modules linguistiques à Windows.

Méthode 1 : Windows Update

Cette mise à jour est fournie sous la forme d’une mise à jour recommandée sur Windows Update. Pour plus d'informations sur l'exécution de Windows Update, reportez-vous à la section comment obtenir une mise à jour via Windows Update.

Méthode 2 : Catalogue Microsoft Update

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Informations détaillées sur la mise à jour

Conditions préalables

Pour appliquer cette mise à jour, vous devez installer le Service Pack 1 pour Windows 7 ou Windows Server 2008 R2.

Il n’y a aucune condition préalable pour appliquer cette mise à jour de Windows Server 2012.

Informations sur le Registre

Pour appliquer cette mise à jour, vous devez ajouter la sous-clé de Registre DefaultSecureProtocols.Remarque : Pour ce faire, vous pouvez ajouter la sous-clé de Registre manuellement ou installer le «correctif facile» pour remplir la sous-clé de Registre.

Nécessité de redémarrer

Vous devrez peut-être redémarrer votre ordinateur après avoir appliqué cette mise à jour.

Informations sur le remplacement de la mise à jour

Cette mise à jour ne remplace aucune mise à jour déjà publiée.

Informations supplémentaires


Secteur des cartes de paiement (PCI) requiert TLS 1.1 ou TLS 1.2 pour la conformité.

Pour plus d’informations sur l’indicateur WINHTTP_OPTION_SECURE_PROTOCOLS, reportez-vous à la section Indicateurs d’Option.

Mode de fonctionnement de l’entrée de Registre DefaultSecureProtocols

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, consultez comment sauvegarder et restaurer le Registre dans Windows.

Lorsqu’une application spécifie WINHTTP_OPTION_SECURE_PROTOCOLS, le système vérifie pour l’entrée de Registre DefaultSecureProtocols et le cas échéant substituer les protocoles par défaut spécifiés par WINHTTP_OPTION_SECURE_PROTOCOLS avec les protocoles spécifiés dans l’entrée de Registre. Si l’entrée de Registre n’est pas présente, WinHTTP utilisera les paramètres par défaut du système d’exploitation existant pour gagner le HTTP WINHTTP_OPTION_SECURE_PROTOCOLS. Ces valeurs par défaut WinHTTP, suivent les règles de priorité existante et sont remplacées par des protocoles SCHANNEL désactivé et protocoles définis par l’application par WinHttpSetOption.

Remarque : Le programme d’installation n’ajoute pas la valeur DefaultSecureProtocols. L’administrateur doit ajouter manuellement l’entrée après avoir déterminé les protocoles de remplacement. Ou bien, vous pouvez installer le «correctif facile» pour ajouter l’entrée automatiquement.

L’entrée de Registre DefaultSecureProtocols peut être ajoutée dans le chemin suivant :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Sur les ordinateurs basés sur la x64, la DefaultSecureProtocols doit également être ajouté au chemin Wow6432Node :

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

La valeur de Registre est une bitmap DWORD. La valeur à utiliser est déterminée en ajoutant les valeurs correspondant aux protocoles que vous le souhaitez.

Valeur de DefaultSecureProtocols Protocole est activé
0x00000008 Activez SSL 2.0 par défaut
0x00000020 Activer SSL 3.0 par défaut
0x00000080 TLS 1.0 est activé par défaut
0x00000200 Activer TLS 1.1 par défaut
0x00000800 Activer TLS 1.2 par défaut

Par exemple :

L’administrateur souhaite remplacer les valeurs par défaut pour WINHTTP_OPTION_SECURE_PROTOCOLS afin de spécifier TLS 1.1 et TLS 1.2.

Prendre la valeur pour TLS 1.1 (0 x 00000200) et la valeur pour TLS 1.2 (0x00000800), puis pour les ajouter dans la Calculatrice (en mode de programmeur) et la valeur de Registre qui en résulte est 0x00000A00.

Facile à corriger

Pour ajouter la sous-clé de Registre DefaultSecureProtocols automatiquement, cliquez sur le bouton Télécharger . Dans la boîte de dialogue Téléchargement de fichier , cliquez sur Ouvrirou sur exécuter , puis suivez les étapes de l’Assistant facile à corriger.

Remarques

  • Il se peut que cet Assistant ne soit disponible qu’en anglais. Toutefois, la résolution automatique fonctionne aussi pour d'autres versions linguistiques de Windows.
  • Si vous n’êtes pas sur l’ordinateur qui rencontre le problème, enregistrez la solution facile à corriger pour un lecteur flash ou sur un CD-ROM et ensuite l’exécuter sur l’ordinateur qui rencontre le problème.

Remarque : En plus de la sous-clé de Registre DefaultSecureProtocols le correctif facile ajoute également la SecureProtocols à l’emplacement suivant pour activer TLS 1.1 et 1.2 pour Internet Explorer.

L’entrée de Registre SecureProtocols a la valeur 0xA80 pour l’activation de TLS 1.1 et 1.2 est ajoutée dans les chemins d’accès suivants :

Paramètres HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Activer TLS 1.1 et 1.2 sur Windows 7 au niveau du composant de SChannel

Par l' article de paramètres SSL-TLSpour TLS 1.1 et 1.2 être activé et négocié sur Windows 7, vous devez créer l’entrée de « DisabledByDefault » dans la sous-clé appropriée (Client) et la valeur « 0 ». Ces sous-clés n’est créées dans le Registre dans la mesure où ces protocoles sont désactivés par défaut.

Créez les sous-clés nécessaires pour TLS 1.1 et 1.2 ; Créez des valeurs DWORD DisabledByDefault et la valeur 0 dans les emplacements suivants :

Pour TLS 1.1

Emplacement du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientNom DWORD : DisabledByDefaultValeur DWORD : 0

Pour TLS 1.2

Emplacement du Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\ClientNom DWORD : DisabledByDefaultValeur DWORD : 0

Informations sur les fichiers


La version anglaise (États-Unis) de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous.

Références


En savoir plus à propos de la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.