Partage via


Protocole TLS dans la sauvegarde Azure

Le protocole TLS (Transport Layer Security) est un protocole de chiffrement qui assure la sécurité des données lors de leur transfert sur un réseau. La sauvegarde Azure utilise le protocole TLS pour protéger la confidentialité des données de sauvegarde en cours de transfert. Cet article décrit les étapes à suivre pour activer le protocole TLS 1.2 qui offre une sécurité améliorée par rapport aux versions précédentes.

Versions antérieures de Windows

Si la machine exécute des versions antérieures de Windows, les mises à jour correspondantes indiquées ci-dessous doivent être installées, et les modifications de Registre documentées dans les articles de la Base de connaissances doivent être appliqués.

Système d’exploitation article de la Base de connaissances
Windows Server 2008 SP2 https://support.microsoft.com/help/4019276
Windows Server 2008 R2, Windows 7, Windows Server 2012 https://support.microsoft.com/help/3140245

Notes

La mise à jour installe les composants de protocole nécessaires. Après l’installation, vous devez procéder aux modifications de clé de Registre mentionnées dans les articles de la Base de connaissances ci-dessus pour activer correctement les protocoles demandés.

Vérifier le Registre Windows

Configuration des protocoles SChannel

Les clés de Registre suivantes garantissent que le protocole TLS 1.2 est activé au niveau du composant SChannel :

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000

Notes

Les valeurs affichées sont définies par défaut dans Windows Server 2012 R2 et les versions plus récentes. Pour ces versions de Windows, si les clés de Registre sont absentes, elles n’ont pas besoin d’être créées.

Configuration de .NET Framework

Les clés de Registre suivantes configurent .NET Framework pour prendre en charge un chiffrement renforcé. Vous trouverez plus d’informations sur la configuration de .NET Framework ici.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
    "SystemDefaultTlsVersions"=dword:00000001
    "SchUseStrongCrypto" = dword:00000001

Modification des certificats Azure TLS

Tous les points de terminaison Azure TLS/SSL contiennent désormais des certificats mis à jour, liés aux nouvelles autorités de certification racines. Vérifiez que les modifications suivantes incluent les autorités de certification racine mises à jour. En savoir plus sur les impacts possibles sur vos applications.

Auparavant, la plupart des certificats TLS utilisés par les services Azure étaient liés à l’autorité de certification racine suivante :

Nom commun de l’autorité de certification Empreinte (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474

Aujourd’hui, les certificats TLS utilisés par les services Azure permettent de lier l’une des autorités de certification racines suivantes :

Nom commun de l’autorité de certification Empreinte (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
Autorité de certification racine globale DgiCert a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 2017 73a5e64a3bff8316ff0edccc618a906e4eae4d74
Microsoft ECC Root Certificate Authority 2017 999a64c37ff47d9fab95f14769891460eec4c3c5

Forum aux questions

Pourquoi activer TLS 1.2 ?

Le protocole TLS 1.2 est plus sécurisé que les protocoles de chiffrement précédents, tels que SSL 2.0, SSL 3.0, TLS 1.0 et TLS 1.1. Les services de Sauvegarde Azure prennent déjà en charge TLS 1.2 dans son intégralité.

Qu’est-ce qui détermine le protocole de chiffrement utilisé ?

La version de protocole la plus élevée qui est prise en charge par le client et le serveur est négociée pour établir la conversation chiffrée. Pour plus d’informations sur le protocole de négociation TLS, consultez Établissement d’une session sécurisée à l’aide du protocole TLS.

Quel est l’impact de la non-activation de TLS 1.2 ?

Pour améliorer la sécurité contre les attaques par passage à une version antérieure de protocole, la sauvegarde Azure commence par désactiver graduellement les versions de TLS antérieures à 1.2. Il s’agit d’un changement à long terme opéré entre les services pour interdire les connexions de suite de chiffrement et de protocole héritées. Les services et les composants de Sauvegarde Azure prennent en charge le protocole TLS 1.2 dans son intégralité. Toutefois, les versions de Windows non pourvues des mises à jour obligatoires ou de certaines configurations personnalisées peuvent toujours empêcher la mise à disposition des protocoles TLS 1.2. Des défaillances peuvent en résulter, parmi lesquelles une ou plusieurs des situations suivantes, mais pas seulement :

  • Des opérations de sauvegarde et de restauration peuvent échouer.
  • Échecs de connexion des composants de sauvegarde avec l’erreur 10054 (une connexion existante a été fermée de force par l’hôte distant).
  • Les services liés à la sauvegarde Azure ne s’arrêtent pas ou ne démarrent pas comme d’habitude.

Ressources supplémentaires