Introduction
Cet article décrit une mise à jour pour ajouter la prise en charge de la sécurité TLS (Transport Layer) 1.1 et TLS 1.2 dans 2013 Compact de Windows Embedded.
Cette mise à jour ajoute la prise en charge requise pour le code de signature cryptographiques binaires à l’aide de valeurs de hachage SHA256 et mise à jour d’empreinte de signature de fournisseur de services cryptographiques de Windows CE.
Résumé
Activer TLS 1.1 et TLS 1.2
Par défaut, TLS 1.1 et 1.2 sont activés lorsque le périphérique 2013 Compact intégré de Windows est configuré en tant que client à l’aide des paramètres du navigateur. Les protocoles sont désactivés lorsque le périphérique 2013 Compact intégré de Windows est configuré comme un serveur web.
Dans les sections suivantes, nous abordons les clés de Registre que vous pouvez utiliser pour activer ou désactiver le TLS 1.1 et TLS 1.2.
TLS 1.1
La sous-clé suivante contrôle l’utilisation de TLS 1.1 :
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.1
Pour désactiver le protocole TLS 1.1, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.
Remarque Pour activer et négociation TLS 1.1, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.
TLS 1.2
La sous-clé suivante contrôle l’utilisation de TLS 1.2 :
HKEY_LOCAL_MACHINE\Comm\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
Pour désactiver le protocole TLS 1.2, vous devez créer l’entrée DWORD Enabled dans la sous-clé appropriée et ensuite modifier la valeur DWORD à 0. Pour réactiver le protocole, modifiez la valeur DWORD de 1. Par défaut, cette entrée n’existe pas dans le Registre.
Remarque Pour activer et négociation TLS 1.2, vous devez créer l’entrée DisabledByDefault DWORD dans la sous-clé appropriée (Client, serveur) et ensuite modifier la valeur DWORD sur 0.
AvertissementLa valeur DisabledByDefault dans les clés de Registre sous la clé de protocoles n’est pas prioritaire sur la valeur grbitEnabledProtocols qui est définie dans la structure SCHANNEL_CRED qui contient les données pour un Schannel informations d’identification.
Remarque Par leDemande de commentaires(RFC), l’implémentation de design n’autorise pas SSL2 et TLS 1.2 soit activé en même temps.
Informations supplémentaires
Les sections suivantes fournissent des détails supplémentaires à propos de TLS 1.1 et 1.2.
Suites de chiffrement pris en charge uniquement par TLS 1.2
Les suites de chiffrement nouvellement ajouté suivants sont pris en charge uniquement par TLS 1.2 :
-
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
-
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_NULL_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
-
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
SCHANNEL_CRED
grbitEnabledProtocols
(Facultatif) Cette valeur DWORD contient une chaîne de bits représentant les protocoles spécifiques. Les protocoles sont pris en charge par les connexions qui sont établies à l’aide des informations d’identification qui sont acquis à l’aide de cette structure.
Le tableau suivant montre les indicateurs possibles supplémentaires, que ce membre peut contenir.
Valeur |
Description |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 côté client. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 côté serveur |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 côté client. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 côté serveur |
SecBufferhttps://docs.microsoft.com/previous-versions/windows/embedded/ee498790(v%3dwinembedded.80)
BufferType
Cet ensemble de bits indicateurs indique le type de mémoire tampon. Le tableau suivant répertorie les indicateurs disponibles supplémentaires pour TLS 1.2:
Indicateur |
Description |
SECBUFFER_ALERT |
La mémoire tampon contient un message d’alerte. |
SecPkgContext_ConnectionInfohttps://docs.microsoft.com/previous-versions/windows/embedded/ee497983(v%3dwinembedded.80)
dwProtocol
Désigne le protocole qui est utilisé pour établir cette connexion. Le tableau suivant montre les constantes valides supplémentaires pour ce membre :
Valeur |
Description |
SP_PROT_TLS1_2_CLIENT |
Transport Layer Security 1.2 côté client. |
SP_PROT_TLS1_2_SERVER |
Transport Layer Security 1.2 côté serveur |
SP_PROT_TLS1_1_CLIENT |
Transport Layer Security 1.1 côté client. |
SP_PROT_TLS1_1_SERVER |
Transport Layer Security 1.1 côté serveur |
Empreinte numérique de Signature de fournisseur cryptographique Service de Microsoft Windows CE
L’empreinte de la Signature de fournisseur cryptographique Service de Microsoft Windows CE est mis à jour dans 2013 Compact de Windows Embedded. La durée de validité du certificat de signature de code est modifiée comme suit.
Ancienne période de validité
02/15/2017 - 05/09/2018
Nouvelle période de validité
09/06/2018 - 09/06/2019
Informations sur la mise à jour logicielle
Informations sur le téléchargement
Le Windows Embedded Compact 2013 mise à jour mensuelle (octobre 2018) est désormais disponible auprès de Microsoft. Pour télécharger cette mise à jour, accédez à Microsoft OEM Online ou MyOEM.
Conditions préalables
Cette mise à jour n'est prise en charge que si toutes les mises à jour précédemment publiées pour ce produit ont été installées.
Nécessité de redémarrer
Après avoir appliqué cette mise à jour, vous devez effectuer une génération complète de l'intégralité de la plateforme. Pour cela, appliquez l’une des méthodes suivantes :
-
Dans le menu Générer, sélectionnez Nettoyer la solution, puis Générer la solution.
-
Dans le menu Générer, sélectionnez Régénérer la solution.
Vous n’êtes pas obligé de redémarrer l’ordinateur après avoir appliqué cette mise à jour de logiciel.
Informations sur le remplacement de la mise à jour
Cette mise à jour n'en remplace pas d'autre.
Références
En savoir plus à propos de la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.