Protocole TLS dans la sauvegarde Azure
Le protocole TLS (Transport Layer Security) est un protocole de chiffrement qui assure la sécurité des données lors de leur transfert sur un réseau. La sauvegarde Azure utilise le protocole TLS pour protéger la confidentialité des données de sauvegarde en cours de transfert. Cet article décrit les étapes à suivre pour activer le protocole TLS 1.2 qui offre une sécurité améliorée par rapport aux versions précédentes.
Versions antérieures de Windows
Si la machine exécute des versions antérieures de Windows, les mises à jour correspondantes indiquées ci-dessous doivent être installées, et les modifications de Registre documentées dans les articles de la Base de connaissances doivent être appliqués.
| Système d’exploitation | article de la Base de connaissances |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Notes
La mise à jour installe les composants de protocole nécessaires. Après l’installation, vous devez procéder aux modifications de clé de Registre mentionnées dans les articles de la Base de connaissances ci-dessus pour activer correctement les protocoles demandés.
Vérifier le Registre Windows
Configuration des protocoles SChannel
Les clés de Registre suivantes garantissent que le protocole TLS 1.2 est activé au niveau du composant SChannel :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Notes
Les valeurs affichées sont définies par défaut dans Windows Server 2012 R2 et les versions plus récentes. Pour ces versions de Windows, si les clés de Registre sont absentes, elles n’ont pas besoin d’être créées.
Configuration de .NET Framework
Les clés de Registre suivantes configurent .NET Framework pour prendre en charge un chiffrement renforcé. Vous trouverez plus d’informations sur la configuration de .NET Framework ici.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Modification des certificats Azure TLS
Tous les points de terminaison Azure TLS/SSL contiennent désormais des certificats mis à jour, liés aux nouvelles autorités de certification racines. Vérifiez que les modifications suivantes incluent les autorités de certification racine mises à jour. En savoir plus sur les impacts possibles sur vos applications.
Auparavant, la plupart des certificats TLS utilisés par les services Azure étaient liés à l’autorité de certification racine suivante :
| Nom commun de l’autorité de certification | Empreinte (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Aujourd’hui, les certificats TLS utilisés par les services Azure permettent de lier l’une des autorités de certification racines suivantes :
| Nom commun de l’autorité de certification | Empreinte (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Autorité de certification racine globale DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Microsoft ECC Root Certificate Authority 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Forum aux questions
Pourquoi activer TLS 1.2 ?
Le protocole TLS 1.2 est plus sécurisé que les protocoles de chiffrement précédents, tels que SSL 2.0, SSL 3.0, TLS 1.0 et TLS 1.1. Les services de Sauvegarde Azure prennent déjà en charge TLS 1.2 dans son intégralité.
Qu’est-ce qui détermine le protocole de chiffrement utilisé ?
La version de protocole la plus élevée qui est prise en charge par le client et le serveur est négociée pour établir la conversation chiffrée. Pour plus d’informations sur le protocole de négociation TLS, consultez Établissement d’une session sécurisée à l’aide du protocole TLS.
Quel est l’impact de la non-activation de TLS 1.2 ?
Pour améliorer la sécurité contre les attaques par passage à une version antérieure de protocole, la sauvegarde Azure commence par désactiver graduellement les versions de TLS antérieures à 1.2. Il s’agit d’un changement à long terme opéré entre les services pour interdire les connexions de suite de chiffrement et de protocole héritées. Les services et les composants de Sauvegarde Azure prennent en charge le protocole TLS 1.2 dans son intégralité. Toutefois, les versions de Windows non pourvues des mises à jour obligatoires ou de certaines configurations personnalisées peuvent toujours empêcher la mise à disposition des protocoles TLS 1.2. Des défaillances peuvent en résulter, parmi lesquelles une ou plusieurs des situations suivantes, mais pas seulement :
- Des opérations de sauvegarde et de restauration peuvent échouer.
- Échecs de connexion des composants de sauvegarde avec l’erreur 10054 (une connexion existante a été fermée de force par l’hôte distant).
- Les services liés à la sauvegarde Azure ne s’arrêtent pas ou ne démarrent pas comme d’habitude.