KB5017811 — Gérer TLS (Transport Layer Security) 1.0 et 1.1 après la modification du comportement par défaut le 20 septembre 2022

Résumé

Tls (Transport Layer Security) 1.0 et 1.1 sont des protocoles de sécurité permettant de créer des canaux de chiffrement sur des réseaux d’ordinateurs. Microsoft les prend en charge depuis Windows XP et Windows Server 2003. Toutefois, les exigences réglementaires changent. En outre, il existe de nouvelles faiblesses de sécurité dans TLS 1.0. Par conséquent, Microsoft vous recommande de supprimer les dépendances TLS 1.0 et 1.1. Nous vous recommandons également de désactiver TLS 1.0 et 1.1 au niveau du système d’exploitation si possible. Pour plus d’informations, consultez Désactivation de TLS 1.0 et 1.1. Dans la mise à jour de la préversion du 20 septembre 2022, nous allons désactiver TLS 1.0 et 1.1 par défaut pour les applications basées sur winhttp et wininet. Cela fait partie d’un effort continu. Cet article vous aidera à les réactiver. Ces modifications seront répercutées après l’installation des mises à jour Windows publiées à partir du 20 septembre 2022.

Comportement lors de l’accès aux liens TLS 1.0 et 1.1 dans le navigateur

Après le 20 septembre 2022, un message s’affiche lorsque votre navigateur ouvre un site web qui utilise TLS 1.0 ou 1.1. Voir la figure 1. Le message indique que le site utilise un protocole TLS obsolète ou non sécurisé. Pour résoudre ce problème, vous pouvez mettre à jour le protocole TLS vers TLS 1.2 ou version ultérieure. Si ce n’est pas possible, vous pouvez activer TLS comme indiqué dans Activation de TLS version 1.1 et versions antérieures.

Fenêtre Internet Explorer lors de l’accès aux liens TLS 1.0 et 1.1

Figure 1 : Fenêtre du navigateur lors de l’accès aux pages web TLS 1.0 et 1.1

Comportement lors de l’accès aux liens TLS 1.0 et 1.1 dans les applications winhttp

Après la mise à jour, les applications basées sur winhttp peuvent échouer. Le message d’erreur est « ERROR_WINHTTP_SECURE_FAILURE lors de l’exécution de l’opération WinHttpSendRequest ».

Comportement lors de l’accès aux liens TLS 1.0 et 1.1 dans les applications d’interface utilisateur personnalisées basées sur winhttp ou wininet

Lorsqu’une application tente de créer une connexion à l’aide de TLS 1.1 et versions antérieures, la connexion peut sembler échouer. Lorsque vous fermez une application ou qu’elle cesse de fonctionner, la boîte de dialogue Assistant Compatibilité des programmes (PCA) s’affiche, comme illustré dans la figure 2.

Fenêtre contextuelle de l’Assistant Compatibilité des programmes après la fermeture de l’application

Figure 2 : Boîte de dialogue Assistant Compatibilité des programmes après la fermeture d’une application

La boîte de dialogue PCA indique : « Ce programme n’a peut-être pas été exécuté correctement. » En dessous, il existe deux options :

Exécuter le programme à l’aide des paramètres de compatibilité
Ce programme s’est exécuté correctement

Exécuter le programme à l’aide des paramètres de compatibilité

Lorsque vous choisissez cette option, l’application se rouvre. À présent, tous les liens qui utilisent TLS 1.0 et 1.1 fonctionnent correctement. À partir de là, aucune boîte de dialogue PCA ne s’affiche. L’Éditeur du Registre ajoute des entrées aux chemins d’accès suivants :

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Si vous avez choisi cette option par erreur, vous pouvez supprimer ces entrées. Si vous les supprimez, vous verrez la boîte de dialogue PCA la prochaine fois que vous ouvrirez l’application.

Liste des programmes qui doivent être exécutés à l’aide des paramètres de compatibilité

Figure 3 : Liste des programmes qui doivent s’exécuter à l’aide des paramètres de compatibilité

Ce programme s’est exécuté correctement

Lorsque vous choisissez cette option, l’application se ferme normalement. La prochaine fois que vous rouvrez l’application, aucune boîte de dialogue PCA ne s’affiche. Le système bloque tout le contenu TLS 1.0 et 1.1. L’Éditeur du Registre ajoute l’entrée suivante au chemin Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Voir la figure 4. Si vous avez choisi cette option par erreur, vous pouvez supprimer cette entrée. Si vous supprimez l’entrée, la boîte de dialogue PCA s’affiche la prochaine fois que vous ouvrez l’application.

Entrée dans l’éditeur du Registre spécifiant que l’application s’est correctement exécutée

Figure 4 : Entrée dans l’Éditeur du Registre indiquant que l’application s’est correctement exécutée

Important Les protocoles TLS hérités sont activés uniquement pour des applications spécifiques. Cela est vrai même si elles sont désactivées dans les paramètres à l’échelle du système.

Activer TLS version 1.1 et versions antérieures (paramètres wininet et Internet Explorer)

Nous vous déconseillons d’activer TLS 1.1 et les versions antérieures, car ils ne sont plus considérés comme sécurisés. Ils sont vulnérables à diverses attaques, telles que l’attaque POODLE. Par conséquent, avant d’activer TLS 1.1, effectuez l’une des opérations suivantes :

Vérifiez si une version plus récente de l’application est disponible.
Demandez au développeur de l’application d’apporter des modifications de configuration dans l’application pour supprimer la dépendance à TLS 1.1 et versions antérieures.

Si aucune des solutions ne fonctionne, il existe deux façons d’activer les protocoles TLS hérités dans les paramètres à l’échelle du système :

Internet Options
Éditeur de stratégie de groupe

Internet Options

Pour ouvrir Options Internet, tapez Options Internet dans la zone de recherche de la barre des tâches. Vous pouvez également sélectionner Modifier les paramètres dans la boîte de dialogue illustrée dans la figure 1. Sous l’onglet Avancé , faites défiler vers le bas dans le panneau Paramètres . Vous pouvez activer ou désactiver les protocoles TLS.

Fenêtre Options Internet

Figure 5 : boîte de dialogue Propriétés Internet

Éditeur stratégie de groupe

Pour ouvrir l’éditeur stratégie de groupe, tapez gpedit.msc dans la zone de recherche de la barre des tâches. Une fenêtre semblable à celle illustrée dans la figure 6 s’affiche.

Fenêtre éditeur de stratégie de groupe

Figure 6 : fenêtre éditeur stratégie de groupe

Accédez à Stratégie de l’ordinateur local > (Configuration ordinateur ou Configuration utilisateur) > Templets d’administration > Composants Windows > Internet Explorer > Internet Panneau de configuration > Page avancée > Désactiver la prise en charge du chiffrement. Voir la figure 7.
Double-cliquez sur Désactiver la prise en charge du chiffrement.

Figure 7 : Chemin d’accès pour désactiver la prise en charge du chiffrement dans stratégie de groupe Editor
Sélectionnez l’option Activé . Utilisez ensuite la liste déroulante pour sélectionner la version TLS que vous souhaitez activer, comme illustré dans la figure 8.

Figure 8 : Activer Désactiver la prise en charge du chiffrement et la liste déroulante

Une fois que vous avez activé la stratégie dans l’éditeur stratégie de groupe, vous ne pouvez pas la modifier dans Options Internet. Par exemple, si vous sélectionnez Utiliser SSL3.0 et TLS 1.0, toutes les autres options ne seront pas disponibles dans Options Internet. Voir la figure 9. Vous ne pouvez pas modifier les paramètres des options Internet si vous activez Désactiver la prise en charge du chiffrement dans l’éditeur stratégie de groupe.

Options Internet avec paramètres SSL et TLS grisés

Figure 9 : Options Internet affichant les paramètres SSL et TLS non disponibles

Activer TLS version 1.1 et versions antérieures (paramètres winhttp)

Consultez Mettre à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows.

Chemins d’accès importants au Registre (paramètres wininet et Internet Explorer)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Vous trouverez ici SecureProtocols, qui stocke la valeur des protocoles actuellement activés si vous utilisez l’éditeur stratégie de groupe.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Vous trouverez ici SecureProtocols, qui stocke la valeur des protocoles actuellement activés si vous utilisez options Internet.
stratégie de groupe SecureProtocols est prioritaire sur celui défini par options Internet.

Activation du secours TLS non sécurisé

Les modifications ci-dessus activent TLS 1.0 et TLS 1.1. Toutefois, ils n’activeront pas le secours TLS. Pour activer le secours TLS, vous devez définir EnableInsecureTlsFallback sur 1 dans le Registre sous les chemins d’accès ci-dessous.

Pour modifier les paramètres : SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
Pour définir la stratégie : SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Si EnableInsecureTlsFallback n’est pas présent, vous devez créer une entrée DWORD et la définir sur 1.

Chemins d’accès importants au Registre

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Il est FALSE par défaut. La définition d’une valeur différente de zéro empêche les applications de définir des protocoles personnalisés à l’aide de l’option winhttp.
EnableInsecureTlsFallback
- Pour modifier les paramètres : SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Pour définir la stratégie : SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Il est FALSE par défaut. La définition d’une valeur différente de zéro permet aux applications de revenir aux protocoles non sécurisés (TLS1.0 et 1.1) si l’établissement d’une liaison échoue avec des protocoles sécurisés (tls1.2 et versions ultérieures).