Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment activer le protocole TLS (Transport Layer Security) 1.2 pour Sauvegarde Azure afin de garantir la transmission sécurisée des données sur les réseaux. TLS 1.2 offre une protection améliorée par rapport aux versions antérieures du protocole, ce qui permet de protéger les données de sauvegarde contre les vulnérabilités et l’accès non autorisé.
Versions antérieures de Windows et mises à jour requises
Si la machine exécute des versions antérieures de Windows, les mises à jour correspondantes indiquées ci-dessous doivent être installées, et les modifications de Registre documentées dans les articles de la Base de connaissances doivent être appliqués.
| Système d’exploitation | article de la Base de connaissances |
|---|---|
| Windows Server 2008 SP2 | https://support.microsoft.com/help/4019276 |
| Windows Server 2008 R2, Windows 7, Windows Server 2012 | https://support.microsoft.com/help/3140245 |
Remarque
La mise à jour installe les composants de protocole nécessaires. Après l’installation, vous devez procéder aux modifications de clé de Registre mentionnées dans les articles de la Base de connaissances ci-dessus pour activer correctement les protocoles demandés.
Vérifier les paramètres du Registre Windows pour TLS
Pour vous assurer que TLS 1.2 est activé sur votre ordinateur Windows, vérifiez que les paramètres de Registre suivants sont configurés correctement.
Configurer des protocoles SChannel
Les clés de Registre suivantes garantissent que le protocole TLS 1.2 est activé au niveau du composant SChannel :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
Remarque
Les valeurs affichées sont définies par défaut dans Windows Server 2012 R2 et les versions plus récentes. Pour ces versions de Windows, si les clés de Registre sont absentes, elles n’ont pas besoin d’être créées.
Configurer .NET Framework
Les clés de Registre suivantes configurent .NET Framework pour prendre en charge un chiffrement renforcé. Vous trouverez plus d’informations sur la configuration de .NET Framework ici.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto" = dword:00000001
Changements des certificats Azure TLS
Tous les points de terminaison Azure TLS/SSL contiennent désormais des certificats mis à jour, liés aux nouvelles autorités de certification racines. Vérifiez que les modifications suivantes incluent les autorités de certification racine mises à jour. En savoir plus sur les impacts possibles sur vos applications.
Auparavant, la plupart des certificats TLS utilisés par les services Azure étaient liés à l’autorité de certification racine suivante :
| Nom commun de l’autorité de certification | Empreinte (SHA1) |
|---|---|
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
Aujourd’hui, les certificats TLS utilisés par les services Azure permettent de lier l’une des autorités de certification racines suivantes :
| Nom commun de l’autorité de certification | Empreinte (SHA1) |
|---|---|
| DigiCert Global Root G2 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 |
| Autorité de certification racine globale DgiCert | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 |
| Baltimore CyberTrust Root | d4de20d05e66fc53fe1a50882c78db2852cae474 |
| D-TRUST Root Class 3 CA 2 2009 | 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0 |
| Microsoft RSA Root Certificate Authority 2017 | 73a5e64a3bff8316ff0edccc618a906e4eae4d74 |
| Autorité de certification racine Microsoft ECC 2017 | 999a64c37ff47d9fab95f14769891460eec4c3c5 |
Foire aux questions sur TLS
Pourquoi activer TLS 1.2 ?
Le protocole TLS 1.2 est plus sécurisé que les protocoles de chiffrement précédents, tels que SSL 2.0, SSL 3.0, TLS 1.0 et TLS 1.1. Les services de Sauvegarde Azure prennent déjà en charge TLS 1.2 dans son intégralité.
Qu’est-ce qui détermine le protocole de chiffrement utilisé ?
La version de protocole la plus élevée qui est prise en charge par le client et le serveur est négociée pour établir la conversation chiffrée. Pour plus d’informations sur le protocole de négociation TLS, consultez Établissement d’une session sécurisée à l’aide du protocole TLS.
Quel est l’impact de la non-activation de TLS 1.2 ?
Pour améliorer la sécurité contre les attaques par passage à une version antérieure de protocole, la sauvegarde Azure commence par désactiver graduellement les versions de TLS antérieures à 1.2. Il s’agit d’un changement à long terme opéré entre les services pour interdire les connexions de suite de chiffrement et de protocole héritées. Les services et les composants de Sauvegarde Azure prennent en charge le protocole TLS 1.2 dans son intégralité. Toutefois, les versions de Windows non pourvues des mises à jour obligatoires ou de certaines configurations personnalisées peuvent toujours empêcher la mise à disposition des protocoles TLS 1.2. Des défaillances peuvent en résulter, parmi lesquelles une ou plusieurs des situations suivantes, mais pas seulement :
- Des opérations de sauvegarde et de restauration peuvent échouer.
- Échecs de connexion des composants de sauvegarde avec l’erreur 10054 (une connexion existante a été fermée de force par l’hôte distant).
- Les services liés à la sauvegarde Azure ne s’arrêtent pas ou ne démarrent pas comme d’habitude.