Sécurité

Désactivation de TLS 1.0 et TLS 1.1 dans Windows

Posted by

Transport Layer Security (TLS) est le protocole Internet le plus courant pour établir un canal de communication chiffré entre un client et un serveur. Dans l’article présenté ici, Microsoft annonce la désactivation forcée de TLS 1.0 et TLS 1.1 dans Windows à partir de septembre 2023.

Présentation et historique du protocole TLS

Le protocole TLS, datant de 1999, n’est pas le plus sécurisé. Un certain nombre de vulnérabilités ont été trouvées sur ce protocole.
De ce fait, le protocole TLS 1.1 a vu le jour en 2006 et proposait un niveau de sécurité accru. Il n’a jamais été adopté de manière généralisée dans les infrastructures IT.
Depuis, on a vu l’apparition de TLS 1.2 puis TLS 1.3 qui sont les protocoles TLS les plus sécurisés à l’heure actuelle.

Pour information : Apple, Mozilla, Google et Microsoft ont déjà commencé à ne plus prendre en charge les versions TLS 1.0 et TLS 1.1 dans leurs navigateurs respectifs, il s’avère donc très important de passer à TLS 1.3 à l’heure actuelle.

De plus, Microsoft vient d’annoncer la désactivation forcée de TLS 1.0 et TLS 1.1 dans Windows :
TLS 1.0 and TLS 1.1 soon to be disabled in Windows – Microsoft Community Hub

Désactivation forcée des protocoles TLS 1.0 et TLS 1.1 dans Windows

Pour renforcer la sécurité des postes Windows et encourager l’adoption de protocoles modernes, les versions TLS 1.0 et TLS 1.1 seront bientôt désactivées par défaut dans le système d’exploitation.

La désactivation se fera sur les versions Windows 11 Insider Preview à partir de septembre 2023 et sur les futures versions du système d’exploitation Windows.

Il y aura la possibilité de réactiver TLS 1.0 et TLS 1.1 pour les clients qui auraient encore besoin de cette compatibilité.

Comment détecter l’utilisation du TLS 1.0 et TLS 1.1 ?

Les applications qui ne fonctionnent plus lorsque les protocoles TLS 1.0 et TLS 1.1 sont désactivés peuvent être identifiées via l’événement 36871 dans le journal d’événements Windows.

Exemple d’évènement 36871 :

Il est aussi possible de rencontrer l’erreur suivante dans le journal d’évènements :

A fatal error occurred while creating a TLS <client/server> credential. The internal error state is 10013. The SSPI client process is <process ID>.

Recommandations et bonnes pratiques suite à ce changement

L’impact de ce changement dépend en grande partie des applications Windows utilisant TLS. Par exemple, TLS 1.0 et TLS 1.1 ont déjà été désactivés par les produits Microsoft 365 ainsi que les API WinHTTP et WinINet.

La plupart des applications les plus récentes prennent en charge les versions du protocole TLS 1.2 ou supérieures.

Par conséquent, si une application commence à ne plus fonctionner après cette modification, la première étape consistera à chercher une version plus récente de l’application prenant en charge TLS 1.2 ou TLS 1.3.

Il est recommandé de garder désactivé les protocoles TLS 1.0 et 1.1 et de ne pas les réactiver pour des raisons de sécurité

Toutefois, si la réactivation des protocoles TLS 1.0 et 1.1 s’avérait nécessaire, voici ci-dessous la procédure à suivre en cas de besoin.

Comment réactiver les protocoles TLS 1.0 et TLS 1.1 ?

S’il n’y a pas d’autre alternative et que les protocoles TLS 1.0 ou TLS 1.1 sont nécessaires, les protocoles peuvent être réactivés grâce à une clé de registre.

Pour modifier le comportement du système par défaut et définir une version de protocole TLS ou SSL différente de celle d’origine, il faudra créer et modifier les clés de registre suivantes :

Exemple de réactivation du protocole TLS 1.0 :

  • Modification des clés de registre ci-dessous :

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

  • Création de l’entrée “Enabled” avec une valeur égale à 1

https://learn.microsoft.com/windows-server/security/tls/tls-registry-settings?tabs=diffie-hellman#tls-dtls-and-ssl-protocol-version-settings

Remarque : La réactivation de TLS 1.0 ou TLS 1.1 sur les machines ne doit être effectuée qu'en dernier recours et comme solution temporaire jusqu'à ce que les applications incompatibles puissent être mises à jour ou remplacées. La prise en charge de ces versions TLS héritées risquent d'être complètement supprimée à l'avenir.

Liste d’applications utilisant les protocoles TLS 1.0 ou TLS 1.1

Les applications ci-dessous ne fonctionnent pas lorsque TLS 1.0 ou 1.1 est désactivé :

  • Safari – 5.1.7
  • EVault Data Protection – 7.01.6125
  • SQL – 2012, 2014, 2016
  • SQL Server – 2014, 2016
  • Turbo Tax – 2017, 2014, 2011, 2012, 2016, 2015, 2018
  • BlueStacks 3 (蓝叠3) – 5.10.0.6513
  • BlueStacks X – 0.21.0.1063
  • Xbox One SmartGlass – 2.2.1702.2004
  • Splice – 4.0.35686, 4.2.4
  • Driver Support – 10.1.2.41, 10.1.4.20
  • K7 Enterprise Security and 4.1.0.116
  • DRUKI Gofin – 3.17.63.0
  • Project Plan 365 – 23.8.1204.14137
  • vWorkspace – 8.6.1
  • ARMA 3
  • Microsoft Office 2008 Professional – Accounting Express
  • LANGuard – 12.7.2022.0406
  • Adguard – 6.4.1814.4903, 7.12.41.70.0
  • 火萤视频桌面 – 5.2.5.9
  • CCB Security Client (中国建设银行E路航网银安全组件) – 3.3.8.4
  • ArcGIS – 10.3.3400
  • ACDSee Photo Studio – 2018, 2023
  • Blio e-Reader – 3.4.0.9728, 3.4.1.9759

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.