TLS 1.1 et 1.2 support 2013 Compact de Windows Embedded

Introduction

Cet article décrit une mise à jour pour ajouter la prise en charge de la sécurité TLS (Transport Layer) 1.1 et TLS 1.2 dans 2013 Compact de Windows Embedded.

Cette mise à jour ajoute la prise en charge requise pour le code de signature cryptographiques binaires à l’aide de valeurs de hachage SHA256 et mise à jour d’empreinte de signature de fournisseur de services cryptographiques de Windows CE.

Résumé

Activer TLS 1.1 et TLS 1.2

Par défaut, TLS 1.1 et 1.2 sont activés lorsque le périphérique 2013 Compact intégré de Windows est configuré en tant que client à l’aide des paramètres du navigateur. Les protocoles sont désactivés lorsque le périphérique 2013 Compact intégré de Windows est configuré comme un serveur web.

Dans les sections suivantes, nous abordons les clés de Registre que vous pouvez utiliser pour activer ou désactiver le TLS 1.1 et TLS 1.2.

TLS 1.1

La sous-clé suivante contrôle l’utilisation de TLS 1.1 :

HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1

Pour désactiver le protocole TLS 1.1, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.

Remarque Pour activer et négociation TLS 1.1, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.

TLS 1.2

La sous-clé suivante contrôle l’utilisation de TLS 1.2 :

HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

Pour désactiver le protocole TLS 1.2, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.

Remarque Pour activer et négociation TLS 1.2, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.

AvertissementLa valeur DisabledByDefault dans les clés de Registre sous la clé de protocoles n’est pas prioritaire sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour un Schannel informations d’identification.

Remarque Par leDemande de commentaires(RFC), l’implémentation de design n’autorise pas SSL2 et TLS 1.2 soit activé en même temps.

Informations supplémentaires

Les sections suivantes fournissent des détails supplémentaires à propos de TLS 1.1 et 1.2.

Suites de chiffrement pris en charge uniquement par TLS 1.2

Les suites de chiffrement nouvellement ajouté suivants sont pris en charge uniquement par TLS 1.2 :

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_NULL_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

SCHANNEL_CRED

grbitEnabledProtocols

(Facultatif) Cette valeur DWORD contient une chaîne de bits représentant les protocoles spécifiques. Les protocoles sont pris en charge par les connexions qui sont établies à l’aide des informations d’identification qui sont acquis à l’aide de cette structure.

Le tableau suivant montre les indicateurs possibles supplémentaires, que ce membre peut contenir.

Valeur

Description

SP_PROT_TLS1_2_CLIENT

Transport Layer Security 1.2 côté client.

SP_PROT_TLS1_2_SERVER

Transport Layer Security 1.2 côté serveur

SP_PROT_TLS1_1_CLIENT

Transport Layer Security 1.1 côté client.

SP_PROT_TLS1_1_SERVER

Transport Layer Security 1.1 côté serveur

 

SecBufferhttps://docs.microsoft.com/en-us/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)

BufferType

Cet ensemble de bits indicateurs indique le type de mémoire tampon. Le tableau suivant répertorie les indicateurs disponibles supplémentaires pour TLS 1.2:

Indicateur

Description

SECBUFFER_ALERT

La mémoire tampon contient un message d’alerte.

 

SecPkgContext_ConnectionInfohttps://docs.microsoft.com/en-us/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)

dwProtocol

Désigne le protocole qui est utilisé pour établir cette connexion. Le tableau suivant montre les constantes valides supplémentaires pour ce membre :

Valeur

Description

SP_PROT_TLS1_2_CLIENT

Transport Layer Security 1.2 côté client.

SP_PROT_TLS1_2_SERVER

Transport Layer Security 1.2 côté serveur

SP_PROT_TLS1_1_CLIENT

Transport Layer Security 1.1 côté client.

SP_PROT_TLS1_1_SERVER

Transport Layer Security 1.1 côté serveur

 

Empreinte numérique de Signature de fournisseur cryptographique Service de Microsoft Windows CE

L’empreinte de la Signature de fournisseur cryptographique Service de Microsoft Windows CE est mis à jour dans 2013 Compact de Windows Embedded. La durée de validité du certificat de signature de code est modifiée comme suit.

Ancienne période de validité

02/15/2017 - 05/09/2018

Nouvelle période de validité

09/06/2018 - 09/06/2019

Informations sur la mise à jour logicielle

Informations sur le téléchargement

Le Windows Embedded Compact 2013 mise à jour mensuelle (octobre 2018) est désormais disponible auprès de Microsoft. Pour télécharger cette mise à jour, accédez à Microsoft OEM Online ou MyOEM.

Conditions préalables

Cette mise à jour n'est prise en charge que si toutes les mises à jour précédemment publiées pour ce produit ont été installées.

Nécessité de redémarrer

Après avoir appliqué cette mise à jour, vous devez effectuer une génération complète de l'intégralité de la plateforme. Pour cela, appliquez l’une des méthodes suivantes :

  • Dans le menu Générer, sélectionnez Nettoyer la solution, puis Générer la solution.

  • Dans le menu Générer, sélectionnez Régénérer la solution.

Vous n’êtes pas obligé de redémarrer l’ordinateur après avoir appliqué cette mise à jour de logiciel.

Informations sur le remplacement de la mise à jour

Cette mise à jour n'en remplace pas d'autre.

Références

En savoir plus à propos de la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×