Migration vers TLS 1.2 pour Azure Resource Manager

Le protocole TLS (Transport Layer Security) est un protocole de sécurité qui établit des canaux de chiffrement sur des réseaux informatiques. TLS 1.2 est la norme du secteur actuelle et est prise en charge par Azure Resource Manager. Pour la compatibilité descendante, Azure Resource Manager prend également en charge les versions antérieures, telles que TLS 1.0 et 1.1, mais cette prise en charge se termine.

Pour garantir la conformité d’Azure aux exigences réglementaires et améliorer la sécurité de nos clients, Azure Resource Manager cessera de prendre en charge les protocoles antérieurs à TLS 1.2 le 1er mars 2025.

Cet article fournit des conseils sur la suppression des dépendances sur les protocoles de sécurité plus anciens.

Pourquoi migrer vers TLS 1.2

TLS chiffre les données envoyées via Internet pour empêcher les utilisateurs malveillants d’accéder aux informations privées et sensibles. Le client et le serveur effectuent un établissement d'une liaison TLS pour vérifier l’identité de l’autre et déterminer la façon dont ils communiqueront. Pendant l’établissement de la liaison, chaque partie identifie les versions TLS qu’elles utilisent. Le client et le serveur peuvent communiquer s’ils prennent en charge une version commune.

TLS 1.2 est plus sécurisé et plus rapide que ses prédécesseurs.

Azure Resource Manager est le service de déploiement et de gestion d’Azure. Vous utilisez Azure Resource Manager pour créer, mettre à jour et supprimer des ressources dans votre compte Azure. Pour renforcer la sécurité et atténuer les attaques ultérieures de passage à un niveau antérieure du protocole, Azure Resource Manager ne prend plus en charge TLS 1.1 ou version antérieure. Pour continuer à utiliser Azure Resource Manager, assurez-vous que tous vos clients qui appellent Azure utilisent TLS 1.2 ou une version ultérieure.

Préparation de la migration vers TLS 1.2

Nous vous recommandons les étapes suivantes lorsque vous préparez à migrer vos clients vers TLS 1.2 :

• Mettez à jour votre système d’exploitation vers la dernière version.

• Mettez à jour vos bibliothèques et infrastructures de développement vers leurs dernières versions. Par exemple, Python 3.8 prend en charge TLS 1.2.

• Corrigez les instances codées en dur des protocoles de sécurité antérieurs à TLS 1.2.

• Informez vos clients et partenaires de la migration de votre produit ou service vers TLS 1.2.

Pour obtenir des conseils plus détaillés, consultez la liste de contrôle pour déprécier les anciennes versions TLS dans votre environnement.

Conseils rapides

• Windows 8+ a TLS 1.2 activé par défaut.

• Windows Server 2016+ a TLS 1.2 activé par défaut.

• Si possible, évitez de décoder en dur la version du protocole. Configurez plutôt vos applications pour toujours différer la version TLS par défaut de votre système d’exploitation.

  Par exemple, vous pouvez activer l’indicateur SystemDefaultTLSVersion dans les applications .NET Framework pour différer la version par défaut de votre système d’exploitation. Cette approche permet à vos applications de tirer parti des futures versions TLS.

  Si vous ne pouvez pas éviter le codage en dur, spécifiez TLS 1.2.

• Mettez à niveau des applications qui ciblent .NET Framework 4.5 ou versions antérieures. Utilisez plutôt .NET Framework 4.7 ou version ultérieure, car ces versions prennent en charge TLS 1.2.

  Par exemple, Visual Studio 2013 ne prend pas en charge TLS 1.2. Utilisez au moins la dernière version de Visual Studio 2017.

• Vous pouvez utiliser Qualys SSL Labs pour identifier la version TLS demandée par les clients qui se connectent à votre application.

• Vous pouvez utiliser Fiddler pour identifier la version TLS utilisée par votre client lorsque vous envoyez des requêtes HTTPS.

Étapes suivantes

• Résolution du problème TLS 1.0, 2e Édition : découvrez en détail la migration vers TLS 1.2.
• Comment activer TLS 1.2 sur les clients : pour Microsoft Configuration Manager.
• Configurer le protocole TLS pour une application cliente : contient des instructions pour mettre à jour la version TLS dans PowerShell.
• Activer la prise en charge de TLS 1.2 dans votre environnement pour Microsoft Entra TLS 1.1 et 1.0 – contient des informations sur la mise à jour de la version TLS pour WinHTTP.
• Meilleures pratiques TLS (Transport Layer Security) avec .NET Framework : meilleures pratiques lors de la configuration des protocoles de sécurité pour les applications ciblant .NET Framework.
• Meilleures pratiques TLS avec .NET Framework : GitHub pour poser des questions sur les meilleures pratiques avec .NET Framework.
• Résolution des problèmes de compatibilité TLS 1.2 avec PowerShell : sonde d’intégrité pour vérifier la compatibilité TLS 1.2 et identifier les problèmes en cas d’incompatibilité avec PowerShell.