Partager via


Activer la prise en charge de TLS 1.1 et TLS 1.2 dans SharePoint Server 2016

S’APPLIQUE À :no-img-132013 yes-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint dans Microsoft 365

Pour activer les versions 1.1 et 1.2 du protocole TLS dans votre environnement SharePoint 2016, vous devez installer les mises à jour et modifier les paramètres de configuration dans chacun des emplacements suivants :

  1. Serveurs SharePoint dans votre batterie SharePoint

  2. Serveurs Microsoft SQL Server dans votre batterie SharePoint

  3. Ordinateurs clients utilisés pour accéder à vos sites SharePoint

Importante

Si vous n'actualisez pas chacun de ces emplacements, il se peut que les systèmes ne parviennent pas à se connecter à l'aide de TLS 1.1 ou TLS 1.2. Au lieu de cela, les systèmes se replient sur un ancien protocole de sécurité ; et si les anciens protocoles de sécurité sont désactivés, les systèmes risquent de ne pas pouvoir se connecter du tout. >Exemple : Les serveurs SharePoint risquent de ne pas réussir à se connecter à des bases de données SQL Server ou des ordinateurs clients risquent de ne pas réussir à se connecter à vos sites SharePoint.

Résumé du processus de mise à jour

L’image suivante illustre le processus en trois étapes nécessaire pour activer la prise en charge de TLS 1.1 et TLS 1.2 sur vos serveurs SharePoint, les serveurs SQL Server et les ordinateurs clients.

Les trois étapes de mise à jour des serveurs dans votre batterie de serveurs SharePoint, Microsoft SQL Server et les ordinateurs clients.

Étape 1 : Mettez à jour les serveurs SharePoint dans votre batterie SharePoint

Procédez comme suit pour mettre à jour votre serveur SharePoint.

Étapes pour SharePoint Server Windows Server 2012 R2 Windows Server 2016
1.1 - Installer la mise à jour du pilote ODBC 11 pour SQL Server pour la prise en charge de TLS 1.2
Obligatoire
Obligatoire
1.2 - Installer la mise à jour de SQL Server 2012 Native Client pour la prise en charge de TLS 1.2
Obligatoire
Obligatoire
Les étapes suivantes sont recommandées. Même si elles ne sont pas directement requises par SharePoint Server 2016, elles peuvent être nécessaires pour d'autres logiciels qui s'intègrent avec SharePoint Server 2016.
1.3 - Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2
Recommandé
Recommandé
1.4 - Activer la cryptographie forte dans .NET Framework 3.5
Recommandé
Recommandé
L'étape suivante est facultative. Vous pouvez choisir d’effectuer cette étape en fonction des exigences de conformité et de sécurité de votre organisation.
1.5 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel
Facultatif
Facultatif

1.1 - Installer la mise à jour du pilote ODBC 11 pour SQL Server pour la prise en charge de TLS 1.2

Le pilote ODBC 11 pour SQL Server ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut. Vous devez installer la mise à jour du pilote ODBC 11 pour SQL Server pour prendre en charge TLS 1.2.

1.2 - Installer la mise à jour de SQL Server 2012 Native Client pour la prise en charge de TLS 1.2

SQL Server 2012 Native Client ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut. Vous devez installer la mise à jour de SQL Server 2012 Native Client pour la prise en charge de TLS 1.2.

1.3 - Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2

.NET Framework 3.5 ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut.

Importante

Pour ajouter la prise en charge de TLS 1.1 et TLS 1.2 dans Windows Server 2012 R2, vous devez installer une mise à jour de la base de connaissances et configurer manuellement les clés de Registre Windows.

SharePoint Server 2016 repose sur .NET Framework 4.x et n'utilise pas .NET Framework 3.5. Toutefois, certains composants prérequis et logiciels tiers qui s'intègrent avec SharePoint Server 2016 peuvent utiliser .NET Framework 3.5. Microsoft recommande d'installer et de configurer cette mise à jour pour améliorer la compatibilité avec TLS 1.2.

La valeur de Registre SystemDefaultTlsVersions définit les valeurs par défaut de la version du protocole de sécurité qui seront utilisées par .NET Framework 3.5. Si la valeur est définie sur 0, la valeur par défaut de .NET Framework 3.5 sera SSL 3.0 or TLS 1.0. Si la valeur est définie sur 1, .NET Framework 3.5 héritera ses valeurs par défaut des valeurs du Registre Windows Schannel DisabledByDefault. Si la valeur n'est pas définie, il se comportera comme si la valeur était définie sur 0.

To enable .NET Framework 3.5 to inherit its security protocol defaults from Windows Schannel

For Windows Server 2012 R2

  1. Pour installer la mise à jour de .NET Framework 3.5 SP1 pour Windows Server 2012 R2, voir l'article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows 8.1 et Windows Server 2012 R2

  2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows Server 2016

Pour Windows Server 2016, configurez manuellement les clés de Registre.

To manually configure the registry keys, do the following:

  1. À partir de Notepad.exe, créez un fichier texte nommé net35-tls12-enable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
  1. Enregistrez le fichier net35-tls12-enable.reg.

  2. Double-cliquez sur le fichier net35-tls12-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

1.4 - Activer le chiffrement fort dans .NET Framework 3.5

La valeur de Registre SchUseStrongCrypto limite l'utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Microsoft a publié une mise à jour de sécurité facultative pour .NET Framework 3.5 Windows Server 2012 R2 qui configurera automatiquement les clés de Registre Windows. Aucune mise à jour n’est disponible pour Windows Server 2016. Vous devez configurer manuellement les clés de Registre Windows sur Windows Server 2016.

Windows Server 2012 R2

Windows Server 2016

Pour activer la cryptographie forte dans .NET Framework 3.5 pour Windows Server 2016, configurez les clés de Registre Windows suivantes :

  1. À partir de Notepad.exe, créez un fichier texte nommé net35-strong-crypto-enable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
  1. Enregistrez le fichier net35-strong-crypto-enable.reg.

  2. Double-cliquez sur le fichier net35-strong-crypto-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

1.5 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Importante

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole. > Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour s’assurer que seule la version de protocole la plus récente est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l'effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l'application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s'applique uniquement lorsque l'application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour désactiver la prise en charge de SSL 2.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé ssl20-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier ssl20-disable.reg.

  2. Double-cliquez sur le fichier ssl20-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de SSL 3.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé ssl30-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier ssl30-disable.reg.

  2. Double-cliquez sur le fichier ssl30-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls10-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier tls10-disable.reg.

  2. Double-cliquez sur tls10-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.1 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls11-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier tls11-disable.reg.

  2. Double-cliquez sur le fichier tls11-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Étape 2 : Mettez à jour vos serveurs Microsoft SQL Server dans votre batterie SharePoint

Procédez comme suit pour mettre à jour les serveurs SQL Server dans votre batterie SharePoint.

Étapes pour vos serveurs SQL Server Windows Server 2012 R2 Windows Server 2016
2.1 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Microsoft SQL Server
Obligatoire
Obligatoire
L’étape suivante est facultative. Vous pouvez choisir d’effectuer cette étape en fonction des exigences de conformité et de sécurité de votre organisation.
2.2 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel
Facultatif
Facultatif

2.1 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Microsoft SQL Server

Les versions de SQL Server antérieures à SQL Server 2016 ne prennent pas en charge TLS 1.1 ou TLS 1.2 par défaut. Pour ajouter la prise en charge pour TLS 1.1 et TLS 1.2, vous devez installer les mises à jour pour SQL Server.

2.2 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Importante

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole. > Les clients peuvent également choisir de désactiver TLS 1.0 et 1.1 pour s’assurer que seule la version de protocole la plus récente est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l'effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l'application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s'applique uniquement lorsque l'application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour désactiver la prise en charge de SSL 2.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé ssl20-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier ssl20-disable.reg.

  2. Double-cliquez sur le fichier ssl20-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de SSL 3.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé ssl30-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier ssl30-disable.reg.

  2. Double-cliquez sur le fichier ssl30-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls10-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier tls10-disable.reg.

  2. Double-cliquez sur le fichier tls10-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.1 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls11-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier tls11-disable.reg.

  2. Double-cliquez sur le fichier tls11-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Étape 3 : Mettez à jour vos ordinateurs client utilisés pour accéder à vos sites SharePoint

Procédez comme suit pour mettre à jour vos ordinateurs clients qui accèdent à votre site SharePoint.

Étapes pour vos ordinateurs clients Windows 7 Windows 8.1 Windows 10
3.1 - Activer TLS 1.1 et TLS 1.2 dans Windows Schannel
Obligatoire
N/D
S/O
3.2 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans WinHTTP
Obligatoire
N/D
S/O
3.3 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer
Obligatoire
N/D
S/O
3.4 - Activer la cryptographie forte dans .NET Framework 4.5 ou version ultérieure
Obligatoire
Obligatoire
Obligatoire
3.5 - Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2
Obligatoire
Obligatoire
Obligatoire
L'étape suivante est recommandée. Même si elles ne sont pas directement requises par SharePoint Server 2016, elles fournissent une meilleure sécurité en limitant l'utilisation des algorithmes de chiffrement faibles.
3.6 - Activer la cryptographie forte dans .NET Framework 3.5
Recommandé
Recommandé
Recommandé
L'étape suivante est facultative. Vous pouvez choisir d’effectuer cette étape en fonction des exigences de conformité et de sécurité de votre organisation.
3.7 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel
Facultatif
Facultatif
Facultatif

3.1 - Activer TLS 1.1 et TLS 1.2 dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n'avez pas besoin d'activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l'application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s'applique uniquement lorsque l'application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour activer la prise en charge de TLS 1.1 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls11-enable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
  1. Enregistrez le fichier tls11-enable.reg.

  2. Double-cliquez sur le fichier tls11-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour activer la prise en charge de TLS 1.2 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls12-enable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
  1. Enregistrez le fichier tls12-enable.reg.

  2. Double-cliquez sur le fichier tls12-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.2 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans WinHTTP

WinHTTP n'hérite pas ses valeurs par défaut de version de protocole de chiffrement SSL et TLS de la valeur de Registre Windows Schannel DisabledByDefault. WinHTTP utilise ses propres valeurs par défaut de version de protocole de chiffrement SSL et TLS, qui varient selon le système d’exploitation. Pour remplacer les valeurs par défaut, vous devez installer une mise à jour de la base de connaissances et configurer les clés de Registre Windows.

La valeur de Registre WinHTTP DefaultSecureProtocols est un champ de bits qui accepte plusieurs valeurs en les ajoutant pour former une seule valeur. Vous pouvez utiliser la calculatrice Windows (Calc.exe) en mode programmeur pour ajouter les valeurs hexadécimales suivantes comme vous le souhaitez.

Valeur DefaultSecureProtocols Description
0x00000008
Activer SSL 2.0 par défaut
0x00000020
Activer SSL 3.0 par défaut
0x00000080
Activer TLS 1.0 par défaut
0x00000200
Activer TLS 1.1 par défaut
0x00000800
Activer TLS 1.2 par défaut

Par exemple, vous pouvez activer TLS 1.0, TLS 1.1 et TLS 1.2 par défaut en ajoutant les valeurs 0x00000080, 0 x 00000200 et 0x00000800 pour former la valeur 0x00000A80.

Pour installer la mise à jour de la base de connaissances WinHTTP, suivez les instructions de l'article de la base de connaissances relatif à la mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows

Pour activer TLS 1.0, TLS 1.1 et TLS 1.2 par défaut dans WinHTTP

  1. À partir de Notepad.exe, créez un fichier texte nommé winhttp-tls10-tls12-enable.reg.

  2. Copiez puis collez le texte suivant.

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A80
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A80

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A80
  1. Enregistrez le fichier winhttp-tls10-tls12-enable.reg.

  2. Double-cliquez sur le fichier winhttp-tls10-tls12-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.3 - Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer

Les version d’Internet Explorer antérieures à Internet Explorer 11 n’ont pas activé la prise en charge de TLS 1.1 ou TLS 1.2 par défaut. La prise en charge de TLS 1.1 et TLS 1.2 est activée par défaut à partir d’Internet Explorer 11.

Pour activer la prise en charge de TLS 1.1 et TLS 1.2 dans Internet Explorer

  1. À partir d’Internet Explorer, cliquez sur Outils>Options> Internetavancées ou cliquez sur le menu Paramètres dans Options>InternetAvancées d’Internet Explorer>.

  2. Dans la section Security, vérifiez que les cases à cocher suivantes sont sélectionnées. Si ce n'est pas le cas, cliquez sur les cases à cocher suivantes :

  • Utiliser TLS 1.1

  • Utiliser TLS 1.2

  1. Si vous le souhaitez, si vous souhaitez désactiver la prise en charge pour des versions antérieures du protocole de sécurité, désactivez les cases à cocher suivantes :
  • Utiliser SSL 2.0

  • Utiliser SSL 3.0

  • Utiliser TLS 1.0

    Remarque

    La désactivation de TLS 1.0 peut générer des problèmes de compatibilité avec des sites qui ne prennent pas en charge les nouvelles versions du protocole de sécurité. Les clients doivent tester cette modification avant de l'effectuer en production.

  1. Cliquez sur OK.

3.4 - Activer la cryptographie forte dans .NET Framework 4.5 ou version ultérieure

.NET Framework 4.5 et version ultérieure n'hérite pas ses valeurs par défaut de version de protocole de sécurité SSL et TLS de la valeur de Registre Windows Schannel DisabledByDefault. À la place, il utilise ses propres valeurs par défaut de version de protocole de sécurité SSL et TLS. Pour remplacer les valeurs par défaut, vous devez configurer les clés de Registre Windows.

La valeur de Registre SchUseStrongCrypto change la valeur par défaut de la version du protocole de sécurité de .NET Framework 4.5 et version ultérieure de SSL 3.0 ou TLS 1.0 en TLS 1.0 ou TLS 1.1 ou TLS 1.2. En outre, il limite l'utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Les applications compilées pour .NET Framework 4.6 ou version ultérieure se comporteront comme si la valeur de registre SchUseStrongCrypto était définie sur 1, même si ce n'est pas le cas. Pour garantir que toutes les applications .NET Framework utiliseront la cryptographie forte, vous devez configurer cette valeur de Registre Windows.

Microsoft a publié une mise à jour de sécurité facultative pour .NET Framework 4.5, 4.5.1 et 4.5.2 qui configurera automatiquement les clés de Registre Windows. Aucune mise à jour n’est disponible pour .NET Framework 4.6 ou version ultérieure. Vous devez configurer manuellement les clés de Registre Windows sur .NET Framework 4.6 ou version ultérieure.

For Windows 7 and Windows Server 2008 R2

For Windows Server 2012

For Windows 8.1 and Windows Server 2012 R2

Pour activer la cryptographie forte dans .NET Framework 4.6 ou version ultérieure

  1. À partir de Notepad.exe, créez un fichier texte nommé net46-strong-crypto-enable.reg.

  2. Copiez puis collez le texte suivant.

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
  1. Enregistrez le fichier net46-strong-crypto-enable.reg.

  2. Double-cliquez sur le fichier net46-strong-crypto-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.5 - Installer la mise à jour de .NET Framework 3.5 pour la prise en charge de TLS 1.1 et TLS 1.2

.NET Framework 3.5 ne prend pas en charge TLS 1.1 ou TLS 1.2 par défaut. Pour ajouter la prise en charge de TLS 1.1 et TLS 1.2, vous devez installer une mise à jour de la base de connaissances et configurer les clés de Registre Windows pour chaque système d'exploitation indiqué dans cette section.

La valeur de Registre SystemDefaultTlsVersions définit les valeurs par défaut de la version du protocole de sécurité qui seront utilisées par .NET Framework 3.5. Si la valeur est définie sur 0, la valeur par défaut de .NET Framework 3.5 sera SSL 3.0 or TLS 1.0. Si la valeur est définie sur 1, .NET Framework 3.5 héritera ses valeurs par défaut des valeurs de Registre Windows Schannel DisabledByDefault. Si la valeur n'est pas définie, il se comportera comme si la valeur était définie sur 0.

Pour activer .NET Framework 3.5 afin qu'il hérite ses valeurs par défaut de protocole de chiffrement de Windows Schannel

For Windows 7 and Windows Server 2008 R2

  1. Pour installer la mise à jour de .NET Framework 3.5.1 pour Windows 7 et Windows Server 2008 R2, voir l'article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5.1 sur Windows 7 SP1 et Server 2008 R2 SP1

  2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows Server 2012

  1. Pour installer la mise à jour de .NET Framework 3.5 pour Windows Server 2012, voir l'article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows Server 2012

  2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows 8.1 and Windows Server 2012 R2

  1. Pour installer la mise à jour de .NET Framework 3.5 SP1 pour Windows 8.1 et Windows Server 2012 R2, voir l'article de la base de connaissances relatif à la prise en charge pour les versions par défaut du système TLS incluses dans .NET Framework 3.5 sur Windows 8.1 et Windows Server 2012 R2

  2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

For Windows 10 (Version 1507)

For Windows 10 (Version 1511)

  1. Pour installer la Mise à jour cumulative pour Windows 10 Version 1511 et Windows Server 2016 Technical Preview 4 datée du 10 mai 2016, voir Mise à jour cumulative pour Windows 10 version 1511 et Windows Server 2016 Technical Preview 4 datée du 10 mai 2016.

  2. Après avoir installé la mise à jour de la base de connaissances, configurez manuellement les clés de Registre.

Windows 10 (Version 1607) and Windows Server 2016

Aucune mise à jour ne doit être installée. Configurez les clés de Registre Windows comme décrit ci-dessous.

To manually configure the registry keys, do these steps.

  1. À partir de Notepad.exe, créez un fichier texte nommé net35-tls12-enable.reg.

  2. Copiez puis collez le texte suivant.

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
  1. Enregistrez le fichier net35-tls12-enable.reg.

  2. Double-cliquez sur le fichier net35-tls12-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.6 - Activer la cryptographie forte dans .NET Framework 3.5

La valeur de Registre SchUseStrongCrypto limite l'utilisation des algorithmes de chiffrement avec TLS qui sont considérés comme faibles comme RC4.

Microsoft a publié une mise à jour de sécurité facultative pour .NET Framework 3.5 sur des systèmes d'exploitation de version antérieure à Windows 10 qui configurera automatiquement les clés de Registre Windows. Aucune mise à jour n’est disponible pour Windows 10. Vous devez configurer manuellement les clés de Registre Windows sur Windows 10.

For Windows 7 and Windows Server 2008 R2

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows 7 et Windows Server 2008 R2, voir l'article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5.1 sous Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 datée du 13 mai 2014

For Windows Server 2012

Pour activer la cryptographie forte dans .NET Framework 3.5.1 sur Windows Server 2012, voir l'article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5 sous Windows 8 et Windows Server 2012 datée du 13 mai 2014

For Windows 8.1 and Windows Server 2012 R2

Pour activer la cryptographie forte dans.NET Framework 3.5 sur Windows 8.1 et Windows Server 2012 R2, voir l'article de la base de connaissances Description de la mise à jour de sécurité pour .NET Framework 3.5 sous Windows 8.1 et Windows Server 2012 R2 datée du 13 mai 2014

To enable strong cryptography in .NET Framework 3.5 on Windows 10

  1. À partir de Notepad.exe, créez un fichier texte nommé net35-strong-crypto-enable.reg.

  2. Copiez puis collez le texte suivant.

For 64-bit operating system

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001

For 32-bit operating system

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SchUseStrongCrypto"=dword:00000001
  1. Enregistrez le fichier net35-strong-crypto-enable.reg.

  2. Double-cliquez sur le fichier net35-strong-crypto-enable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

3.7 - Désactiver les versions antérieures de SSL et TLS dans Windows Schannel

La prise en charge de SSL et TLS est activée ou désactivée dans Windows Schannel en modifiant le Registre Windows. Chaque version du protocole SSL et TLS peut être activée ou désactivée séparément. Vous n’avez pas besoin d’activer ou de désactiver une version de protocole pour activer ou désactiver une autre version de protocole.

Importante

Microsoft recommande de désactiver SSL 2.0 et SSL 3.0 en raison de problèmes de sécurité graves dans ces versions de protocole. > Les clients peuvent également choisir de désactiver TLS 1.0 et TLS 1.1 pour s’assurer que seule la version de protocole la plus récente est utilisée. Toutefois, cela peut entraîner des problèmes de compatibilité avec les logiciels qui ne prennent pas en charge la dernière version du protocole TLS. Les clients doivent tester cette modification avant de l'effectuer en production.

La valeur de Registre Enabled définit si la version du protocole peut être utilisée. Si la valeur est définie sur 0, la version du protocole ne peut pas être utilisée, même si elle est activée par défaut, ou si l'application demande explicitement cette version du protocole. Si la valeur est définie sur 1, la version du protocole peut être utilisée si elle est activée par défaut ou si l’application demande explicitement cette version du protocole. Si la valeur n'est pas définie, elle utilise une valeur par défaut déterminée par le système d'exploitation.

La valeur de Registre DisabledByDefault définit si la version du protocole est utilisée par défaut. Ce paramètre s'applique uniquement lorsque l'application ne demande pas de manière explicite les versions de protocole à utiliser. Si la valeur est définie sur 0, la version du protocole est utilisée par défaut. Si la valeur est définie sur 1, la version du protocole n’est pas utilisée par défaut. Si la valeur n’est pas définie, elle utilise une valeur par défaut déterminée par le système d’exploitation.

Pour désactiver la prise en charge de SSL 2.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé ssl20-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier ssl20-disable.reg.

  2. Double-cliquez sur le fichier ssl20-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de SSL 3.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé ssl30-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier ssl30-disable.reg.

  2. Double-cliquez sur le fichier ssl30-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.0 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls10-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier tls10-disable.reg.

  2. Double-cliquez sur le fichier tls10-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.

Pour désactiver la prise en charge de TLS 1.1 dans Windows Schannel

  1. À partir de Notepad.exe, créez un fichier texte nommé tls11-disable.reg.

  2. Copiez puis collez le texte suivant.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
  1. Enregistrez le fichier tls11-disable.reg.

  2. Double-cliquez sur le fichier tls11-disable.reg.

  3. Cliquez sur Yes pour mettre à jour le Registre Windows avec ces modifications.

  4. Redémarrez l'ordinateur pour que la modification soit prise en compte.