Dépréciation de TLS 1.0 et TLS 1.1 dans Windows
Les normes Internet et les organismes de réglementation ont déprécié ou interdit les versions TLS 1.0 et 1.1 en raison de divers problèmes de sécurité. À partir des préversions Insiders de Windows 11 et Windows Server en 2024, elles seront désactivées par défaut. Cette modification s’applique à la fois aux périphériques client et serveur, mais n’a pas d’impact sur les versions du système d’exploitation sur le marché.
TLS 1.0 et TLS 1.1 ont déjà été désactivés par les produits Microsoft 365, ainsi que les surfaces d’API WinHTTP et WinINet. La plupart des versions plus récentes des applications prennent en charge les versions de protocole TLS 1.2 ou ultérieures. Par conséquent, si une application commence à échouer après ce changement, la première étape est de rechercher une version plus récente de l’application prenant en charge TLS 1.2 ou TLS 1.3.
Pour en savoir plus sur cette dépréciation, consultez RFC 8996.
Réactivation de TLS 1.0 et 1.1
Attention
La modification directe du Registre n’est pas recommandée, sauf s’il n’y a pas d’autre alternative. Les modifications apportées au Registre ne sont pas validées par l’Éditeur du Registre ni par le système d’exploitation Windows avant d’être appliquées. Par conséquent, des valeurs incorrectes peuvent être stockées et cela peut générer des erreurs irrécupérables dans le système. Plutôt que de modifier directement le Registre, utilisez si possible la stratégie de groupe ou d’autres outils Windows tels que la console MMC (Microsoft Management Console). Si vous devez modifier le Registre, soyez très vigilant.
Les valeurs de Registre DWORD suivantes peuvent être créées pour activer les versions de TLS 1.0 et 1.1 à l’échelle du système :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server\Enabled
La définition de ces valeurs DWORD sur 1 active TLS 1.0 et 1.1 pour les clients et les serveurs TLS. Pour annuler ces modifications, supprimez les valeurs de Registre ci-dessus.
Le script PowerShell suivant peut être utilisé pour réactiver TLS 1.0 et 1.1 :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 1 -Type DWord
Pour en savoir plus sur les paramètres de Registre pour TLS, consultez Paramètres de Registre pour TLS (Transport Layer Security).
Remarque
La prise en charge de ces versions TLS héritées 1.0 et 1.1 est susceptible d’être supprimée complètement dans le futur.
Problèmes connus
Les applications Windows suivantes s’appuient sur TLS 1.0 ou TLS 1.1, et sont censées échouer ou perdre certaines fonctionnalités. La liste fournie n’est pas exhaustive. Si d’autres applications présentent des problèmes, nous vous recommandons de vérifier auprès du fournisseur du logiciel s’il existe une version mise à jour.
Application | Version impactée | Version corrigée |
---|---|---|
ACDSee Photo Studio | 2018 | 2023 |
Adguard | 6.4, 7.12 | 7.15 |
ArcGIS | 10.3 | 11,1 |
Arma 3 | 3 | 3 |
Blio e-Reader | 3.4.1 | Non disponible |
BlueStacks 3 (蓝叠3) | 5.10 | 5.13 |
BlueStacks X | 0.21.0.1063 | 10.4.0.1034 |
CCB Security Client (中国建设银行E路航网银安全组件) | 3.3.9.7 | Non disponible |
CorelDRAW Graphics Suite X6 | 16 | 24.5.0.731 (2022) |
Prise en charge de pilote | 10.1.6.14 | SolveIQ |
DRUKI Gofin | 3.17.94.0 | Non disponible |
ESET NOD32 Antivirus | 5.0.94.0 | 10.0.390.0 |
EVault Data Protection | 7.01.6125 | Non disponible |
Jaws pour Windows | 2019.1903.47 | 2023.2307.37 |
K7 Enterprise Security | 4.1.0.116 | 4.5.1.121 |
LANGuard | 12.7 | 12.10 |
Microsoft Office 2008 Professional Accounting Express | 2008 | Non disponible |
Project Plan 365 | 23.8.1204.14137 | 23.30.1225.39313 |
Quick Heal Total Security | 23.00 (14.1.0.10) | Non disponible |
Safari | 5.1.7 | 5.1.7 |
Splice | 4.0.35686 | 4.3.98750 |
SQL Server | 2012, 2014, 2016 | 2014, 2016 patché, voir Ko3135244 |
Turbo Tax | 2011, 2012, 2014, 2015, 2016, 2017, 2018 | 2022 |
UltraViewer | 6.6.37 | 6.6.63 |
UPlay | 22.1 | Ubisoft Connect |
vWorkspace | 8.6.1 | Non disponible |
WebCompanion | 11.7 | 12.1 |
Xbox One SmartGlass | 2.2.1702.2004 | Non disponible |
火萤视频桌面 (Qiffa) | 5.2.5.9 | Non disponible |
Assistance développeur
Des informations supplémentaires pour les développeurs et les administrateurs d’entreprise qui utilisent l’interface SSPI (Security Support Provider Interface) sont disponibles sur TLS 1.0 et TLS 1.1 prochainement désactivés dans Windows