Paramètres du Registre TLS (Transport Layer Security)Transport Layer Security (TLS) registry settings

S’applique à : Windows Server (Canal semi-annuel), Windows Server 2019, Windows Server 2016, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows 10

Cette rubrique de référence destinée aux professionnels de l’informatique contient des informations sur les paramètres de Registre pris en charge pour l’implémentation Windows du protocole TLS (Transport Layer Security) et du protocole protocole SSL (SSL) par le biais de la prise en charge de la sécurité Schannel. Fournisseur (SSP).This reference topic for the IT professional contains supported registry setting information for the Windows implementation of the Transport Layer Security (TLS) protocol and the Secure Sockets Layer (SSL) protocol through the Schannel Security Support Provider (SSP). Les sous-clés et les entrées de Registre abordées dans cette rubrique vous aident à administrer et à dépanner le SSP Schannel, en particulier les protocoles TLS et SSL.The registry subkeys and entries covered in this topic help you administer and troubleshoot the Schannel SSP, specifically the TLS and SSL protocols.

Attention

Ces informations sont fournies à titre de référence et peuvent être utilisées dans le cadre de la résolution de problèmes ou de la vérification de l’application des paramètres requis.This information is provided as a reference to use when you are troubleshooting or verifying that the required settings are applied. Nous vous recommandons de ne pas modifier directement le Registre, sauf s’il n’y a pas d’autre solution.We recommend that you do not directly edit the registry unless there is no other alternative. Les modifications apportées au Registre ne sont pas validées par l’Éditeur du Registre ni par le système d’exploitation Windows avant d’être appliquées.Modifications to the registry are not validated by the Registry Editor or by the Windows operating system before they are applied. Par conséquent, des valeurs incorrectes peuvent être stockées et cela peut générer des erreurs irrécupérables dans le système.As a result, incorrect values can be stored, and this can result in unrecoverable errors in the system. Si possible, plutôt que de modifier le Registre directement, utilisez la stratégie de groupe ou d’autres outils Windows tels que la console MMC (Microsoft Management) pour exécuter des opérations.When possible, instead of editing the registry directly, use Group Policy or other Windows tools such as the Microsoft Management Console (MMC) to accomplish tasks. Si vous devez modifier le Registre, soyez très vigilant.If you must edit the registry, use extreme caution.

CertificateMappingMethodsCertificateMappingMethods

Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. La valeur par défaut est que les quatre méthodes de mappage des certificats, répertoriées ci-dessous, sont prises en charge.The default value is that all four certificate mapping methods, listed below, are supported.

Lorsqu’une application du serveur requiert l’authentification du client, Schannel tente automatiquement de mapper le certificat fourni par le client avec un compte d’utilisateur.When a server application requires client authentication, Schannel automatically attempts to map the certificate that is supplied by the client computer to a user account. Vous pouvez authentifier les utilisateurs qui se connectent avec un certificat client en créant des mappages qui lient les informations de certificat à un compte d’utilisateur Windows.You can authenticate users who sign in with a client certificate by creating mappings, which relate the certificate information to a Windows user account. Après avoir créé et activé un mappage de certificat, chaque fois qu’un client présente un certificat client, votre application serveur associe automatiquement cet utilisateur au compte d’utilisateur Windows approprié.After you create and enable a certificate mapping, each time a client presents a client certificate, your server application automatically associates that user with the appropriate Windows user account.

Dans la plupart des cas, un certificat est mappé avec un compte d’utilisateur de deux manières :In most cases, a certificate is mapped to a user account in one of two ways:

  • Un seul certificat est mappé avec un compte d’utilisateur (mappage un-à-un).A single certificate is mapped to a single user account (one-to-one mapping).
  • Plusieurs certificats sont mappés avec un compte d’utilisateur (mappage plusieurs-à-un).Multiple certificates are mapped to one user account (many-to-one mapping).

Par défaut, le fournisseur Schannel utilise les quatre méthodes de mappage de certificat suivantes, répertoriées par ordre de préférence :By default, the Schannel provider will use the following four certificate mapping methods, listed in order of preference:

  1. Mappage de certificats Kerberos service-for-user (S4U)Kerberos service-for-user (S4U) certificate mapping
  2. Mappage du nom principal de l’utilisateurUser principal name mapping
  3. Mappage un-à-un (également appelé mappage objet/émetteur)One-to-one mapping (also known as subject/issuer mapping)
  4. Mappage plusieurs-à-unMany-to-one mapping

Versions applicables : Comme indiqué dans la liste S’applique à qui se trouve au début de cette rubrique.Applicable versions: As designated in the Applies To list that is at the beginning of this topic.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ChiffrementsCiphers

Le chiffrement TLS/SSL doit être contrôlé en configurant l’ordre de la suite de chiffrement.TLS/SSL ciphers should be controlled by configuring the cipher suite order. Pour plus d’informations, consultez Configuration de la suite de chiffrement TLS.For details, see Configuring TLS Cipher Suite Order.

Pour plus d’informations sur l’ordre des suites de chiffrement par défaut qui sont utilisées par le SSP Schannel, voir suites de chiffrement dans TLS/SSL (SSP Schannel).For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

Suites de chiffrementCipherSuites

La configuration des suites de chiffrement TLS/SSL doit être effectuée à l’aide de la stratégie de groupe, MDM ou PowerShell. pour plus d’informations, consultez Configuration de la suite de chiffrement TLS .Configuring TLS/SSL cipher suites should be done using group policy, MDM or PowerShell, see Configuring TLS Cipher Suite Order for details.

Pour plus d’informations sur l’ordre des suites de chiffrement par défaut qui sont utilisées par le SSP Schannel, voir suites de chiffrement dans TLS/SSL (SSP Schannel).For information about default cipher suites order that are used by the Schannel SSP, see Cipher Suites in TLS/SSL (Schannel SSP).

ClientCacheTimeClientCacheTime

Cette entrée contrôle la durée en millisecondes nécessaire pour que le système d’exploitation fasse expirer les entrées de cache côté client.This entry controls the amount of time that the operating system takes in milliseconds to expire client-side cache entries. La valeur 0 désactive la mise en cache d’une connexion sécurisée.A value of 0 turns off secure-connection caching. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default.

La première fois qu’un client se connecte à un serveur via le SSP Schannel, une liaison TLS/SSL complète est établie.The first time a client connects to a server through the Schannel SSP, a full TLS/SSL handshake is performed. Ensuite, le secret principal, la suite de chiffrement et les certificats sont stockés dans le cache de session sur le client et le serveur correspondants.When this is complete, the master secret, cipher suite, and certificates are stored in the session cache on the respective client and server.

À partir de Windows Server 2008 et Windows Vista, la durée de mise en cache par défaut du client est de 10 heures.Beginning with Windows Server 2008 and Windows Vista, the default client cache time is 10 hours.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Heure du cache du client par défautDefault client cache time

EnableOcspStaplingForSniEnableOcspStaplingForSni

L’agrafage du protocole OCSP (Online Certificate Status Protocol) permet à un serveur Web, tel que Internet Information Services (IIS), de fournir l’état de révocation actuel d’un certificat de serveur lorsqu’il envoie le certificat de serveur à un client pendant la négociation TLS.Online Certificate Status Protocol (OCSP) stapling enables a web server, such as Internet Information Services (IIS), to provide the current revocation status of a server certificate when it sends the server certificate to a client during the TLS handshake. Cette fonctionnalité réduit la charge sur les serveurs OCSP, car le serveur Web peut mettre en cache l’État OCSP actuel du certificat de serveur et l’envoyer à plusieurs clients Web.This feature reduces the load on OCSP servers because the web server can cache the current OCSP status of the server certificate and send it to multiple web clients. Sans cette fonctionnalité, chaque client Web essaiera de récupérer l’État OCSP actuel du certificat de serveur à partir du serveur OCSP.Without this feature, each web client would try to retrieve the current OCSP status of the server certificate from the OCSP server. Cela générerait une charge élevée sur ce serveur OCSP.This would generate a high load on that OCSP server.

Outre IIS, les services Web sur http. sys peuvent également bénéficier de ce paramètre, y compris Services ADFS (AD FS) et le proxy d’application Web (WAP).In addition to IIS, web services over http.sys can also benefit from this setting, including Active Directory Federation Services (AD FS) and Web Application Proxy (WAP).

Par défaut, la prise en charge OCSP est activée pour les sites Web IIS qui ont une liaison sécurisée (SSL/TLS) simple.By default, OCSP support is enabled for IIS websites that have a simple secure (SSL/TLS) binding. Toutefois, cette prise en charge n’est pas activée par défaut si le site Web IIS utilise l’un des types suivants de liaisons sécurisées (SSL/TLS), ou les deux :However, this support is not enabled by default if the IIS website is using either or both of the following types of secure (SSL/TLS) bindings:

  • Exiger Indication du nom du serveurRequire Server Name Indication
  • Utiliser le magasin de certificats centralisésUse Centralized Certificate Store

Dans ce cas, la réponse Hello du serveur pendant la négociation TLS n’inclut pas l’état d’agrafage OCSP par défaut.In this case, the server hello response during the TLS handshake won't include an OCSP stapled status by default. Ce comportement améliore les performances : L’implémentation de l’agrafage OCSP Windows s’adapte à des centaines de certificats de serveur.This behavior improves performance: The Windows OCSP stapling implementation scales to hundreds of server certificates. Étant donné que SNI et CCS permettent à IIS de s’adapter à des milliers de sites Web qui ont potentiellement des milliers de certificats de serveur, le fait de définir ce comportement comme étant activé par défaut peut entraîner des problèmes de performances.Because SNI and CCS enable IIS to scale to thousands of websites that potentially have thousands of server certificates, setting this behavior to be enabled by default may cause performance issues.

Versions applicables : Toutes les versions à partir de Windows Server 2012 et Windows 8.Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

Chemin d’accès au registre : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]Registry path: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

Ajoutez la clé suivante :Add the following key:

"EnableOcspStaplingForSni" = dword : 00000001"EnableOcspStaplingForSni"=dword:00000001

Pour désactiver, définissez la valeur DWORD sur 0 :To disable, set the DWORD value to 0:

"EnableOcspStaplingForSni" = dword : 00000000"EnableOcspStaplingForSni"=dword:00000000

Notes

L’activation de cette clé de registre a un impact potentiel sur les performances.Enabling this registry key has a potential performance impact.

FIPSAlgorithmPolicyFIPSAlgorithmPolicy

Cette entrée contrôle la conformité aux normes FIPS (Federal Information Processing Standard).This entry controls Federal Information Processing (FIPS) compliance. La valeur par défaut est 0.The default is 0.

Versions applicables : Toutes les versions à partir de Windows Server 2012 et Windows 8.Applicable versions: All versions beginning with Windows Server 2012 and Windows 8.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\LSARegistry path: HKLM SYSTEM\CurrentControlSet\Control\LSA

Suites de chiffrement FIPS de Windows Server : Consultez les suites et les protocoles de chiffrement pris en charge dans le SSP Schannel.Windows Server FIPS cipher suites: See Supported Cipher Suites and Protocols in the Schannel SSP.

HachagesHashes

Les algorithmes de hachage TLS/SSL doivent être contrôlés en configurant l’ordre de la suite de chiffrement.TLS/SSL hash algorithms should be controlled by configuring the cipher suite order. Pour plus d’informations, consultez Configuration de la suite de chiffrement TLS .See Configuring TLS Cipher Suite Order for details.

IssuerCacheSizeIssuerCacheSize

Cette entrée contrôle la taille du cache de l’émetteur. Elle est utilisée avec le mappage de l’émetteur.This entry controls the size of the issuer cache, and it is used with issuer mapping. Le SSP Schannel tente de mapper tous les émetteurs dans la chaîne de certificats du client, et non pas seulement l’émetteur direct du certificat client.The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. Lorsque les émetteurs ne correspondent pas à un compte, ce qui est le cas par défaut, le serveur peut tenter de mapper le même nom de l’émetteur à plusieurs reprises, des centaines de fois par seconde.When the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

Pour éviter ce problème, le serveur a un cache négatif ; ainsi lorsqu’un nom d’émetteur ne correspond pas à un compte, il est ajouté au cache et le SSP Schannel ne tente pas de mapper le nom d’émetteur à nouveau tant que l’entrée de cache n’a pas expiré.To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. Cette entrée de Registre spécifie la taille du cache.This registry entry specifies the cache size. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. La valeur par défaut est 100.The default value is 100.

Versions applicables : Toutes les versions à partir de Windows Server 2008 et Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

IssuerCacheTimeIssuerCacheTime

Cette entrée contrôle l’intervalle de temps d’expiration du cache en millisecondes.This entry controls the length of the cache timeout interval in milliseconds. Le SSP Schannel tente de mapper tous les émetteurs dans la chaîne de certificats du client, et non pas seulement l’émetteur direct du certificat client.The Schannel SSP attempts to map all of the issuers in the client's certificate chain—not only the direct issuer of the client certificate. Lorsque les émetteurs ne correspondent pas à un compte, ce qui est le cas par défaut, le serveur peut tenter de mapper le même nom d’émetteur à plusieurs reprises, des centaines de fois par seconde.In the case where the issuers do not map to an account, which is the typical case, the server might attempt to map the same issuer name repeatedly, hundreds of times per second.

Pour éviter ce problème, le serveur a un cache négatif ; ainsi lorsqu’un nom d’émetteur ne correspond pas à un compte, il est ajouté au cache et le SSP Schannel ne tente pas de mapper le nom d’émetteur à nouveau tant que l’entrée de cache n’a pas expiré.To prevent this, the server has a negative cache, so if an issuer name does not map to an account, it is added to the cache and the Schannel SSP will not attempt to map the issuer name again until the cache entry expires. Ce cache est conservé pour des raisons de performances, afin que le système ne continue pas de tente de mapper les mêmes émetteurs.This cache is kept for performance reasons, so that the system does not continue trying to map the same issuers. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. La valeur par défaut est 10 minutes.The default value is 10 minutes.

Versions applicables : Toutes les versions à partir de Windows Server 2008 et Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

KeyExchangeAlgorithm-tailles de clé RSA du clientKeyExchangeAlgorithm - Client RSA key sizes

Cette entrée contrôle les tailles de clé RSA du client.This entry controls the client RSA key sizes.

L’utilisation des algorithmes d’échange de clés doit être contrôlée en configurant l’ordre de la suite de chiffrement.Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Ajouté dans Windows 10, version 1507 et Windows Server 2016.Added in Windows 10, version 1507 and Windows Server 2016.

Chemin du Registre : HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCSRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS

Pour spécifier une plage minimale prise en charge de la longueur en bits de clé RSA pour le client TLS, créez une entrée ClientMinKeyBitLength .To specify a minimum supported range of RSA key bit length for the TLS client, create a ClientMinKeyBitLength entry. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, 1024 bits est le minimum.If not configured, 1024 bits will be the minimum.

Pour spécifier une plage maximale prise en charge de la longueur en bits de clé RSA pour le client TLS, créez une entrée ClientMaxKeyBitLength .To specify a maximum supported range of RSA key bit length for the TLS client, create a ClientMaxKeyBitLength entry. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, le nombre maximal n’est pas appliqué.If not configured, then a maximum is not enforced.

Tailles de clé de Diffie-Hellman KeyExchangeAlgorithmKeyExchangeAlgorithm - Diffie-Hellman key sizes

Cette entrée contrôle les tailles de clé Diffie-Hellman.This entry controls the Diffie-Hellman key sizes.

L’utilisation des algorithmes d’échange de clés doit être contrôlée en configurant l’ordre de la suite de chiffrement.Use of key exchange algorithms should be controlled by configuring the cipher suite order.

Ajouté dans Windows 10, version 1507 et Windows Server 2016.Added in Windows 10, version 1507 and Windows Server 2016.

Chemin du Registre : HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-HellmanRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

Pour spécifier une plage de bits de clé Diffie-Helman minimale prise en charge pour le client TLS, créez une entrée ClientMinKeyBitLength .To specify a minimum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMinKeyBitLength entry. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, 1024 bits est le minimum.If not configured, 1024 bits will be the minimum.

Pour spécifier une plage maximale prise en charge de la longueur en bits de clé Diffie-Helman pour le client TLS, créez une entrée ClientMaxKeyBitLength .To specify a maximum supported range of Diffie-Helman key bit length for the TLS client, create a ClientMaxKeyBitLength entry. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, le nombre maximal n’est pas appliqué.If not configured, then a maximum is not enforced.

Pour spécifier la longueur en bits de la clé Diffie-Helman pour le serveur TLS par défaut, créez une entrée ServerMinKeyBitLength .To specify the Diffie-Helman key bit length for the TLS server default, create a ServerMinKeyBitLength entry. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, 2048 bits est la valeur par défaut.If not configured, 2048 bits will be the default.

MaximumCacheSizeMaximumCacheSize

Cette entrée contrôle le nombre maximal d’éléments du cache.This entry controls the maximum number of cache elements. En définissant le nombre maximal d’éléments du cache sur 0, vous désactivez le cache de session côté serveur et empêchez les reconnexions.Setting MaximumCacheSize to 0 disables the server-side session cache and prevents reconnection. Lorsque la valeur de cette entrée est supérieure aux valeurs par défaut, Lsass.exe consomme plus de mémoire.Increasing MaximumCacheSize above the default values causes Lsass.exe to consume additional memory. Chaque élément du cache de session nécessite généralement 2 à 4 Ko de mémoire.Each session-cache element typically requires 2 to 4 KB of memory. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. La valeur par défaut est 20 000 éléments.The default value is 20,000 elements.

Versions applicables : Toutes les versions à partir de Windows Server 2008 et Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Messagerie-analyse de fragmentsMessaging – fragment parsing


Cette entrée contrôle la taille maximale autorisée des messages de négociation TLS fragmentés qui seront acceptés.This entry controls the maximum allowed size of fragmented TLS handshake messages that will be accepted. Les messages dont la taille est supérieure à la taille autorisée ne sont pas acceptés et la négociation TLS échoue.Messages larger than the allowed size will not be accepted and the TLS handshake will fail. Par défaut, ces entrées n’existent pas dans le registre.These entries do not exist in the registry by default.

Lorsque vous définissez la valeur sur 0x0, les messages fragmentés ne sont pas traités et entraînent l’échec de la négociation TLS.When you set the value to 0x0, fragmented messages are not processed and will cause the TLS handshake to fail. Cela rend les clients TLS ou les serveurs sur l’ordinateur actuel non conformes aux RFC TLS.This makes TLS clients or servers on the current machine non-compliant with the TLS RFCs.

La taille maximale autorisée peut être augmentée jusqu’à 2 ^ 24-1 octets.The maximum allowed size can be increased up to 2^24-1 bytes. Autoriser un client ou un serveur à lire et stocker de grandes quantités de données non vérifiées à partir du réseau n’est pas une bonne idée et consommera de la mémoire supplémentaire pour chaque contexte de sécurité.Allowing a client or server to read and store large amounts of unverified data from the network is not a good idea and will consume additional memory for each security context.

Ajouté dans Windows 7 et Windows Server 2008 R2.Added in Windows 7 and Windows Server 2008 R2. Une mise à jour qui permet à Internet Explorer dans Windows XP, Windows Vista ou Windows Server 2008 d’analyser les messages de négociation TLS/SSL fragmentés est disponible.An update that enables Internet Explorer in Windows XP, in Windows Vista, or in Windows Server 2008 to parse fragmented TLS/SSL handshake messages is available.

Chemin du Registre : HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\MessagingRegistry path: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Messaging

Pour spécifier une taille maximale autorisée de messages de négociation TLS fragmentés que le client TLS acceptera, créez une entrée MessageLimitClient .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS client will accept, create a MessageLimitClient entry. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, la valeur par défaut est 0x8000 octets.If not configured, the default value will be 0x8000 bytes.

Pour spécifier une taille maximale autorisée de messages de négociation TLS fragmentés que le serveur TLS acceptera en l’absence d’authentification du client, créez une entrée MessageLimitServer .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is no client authentication, create a MessageLimitServer entry. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, la valeur par défaut est 0x4000 octets.If not configured, the default value will be 0x4000 bytes.

Pour spécifier une taille maximale autorisée de messages de négociation TLS fragmentés que le serveur TLS acceptera en cas d’authentification du client, créez une entrée MessageLimitServerClientAuth .To specify a maximum allowed size of fragmented TLS handshake messages that the TLS server will accept when there is client authentication, create a MessageLimitServerClientAuth entry. Après avoir créé l’entrée, remplacez la valeur DWORD par la longueur de bit souhaitée.After you have created the entry, change the DWORD value to the desired bit length. S’il n’est pas configuré, la valeur par défaut est 0x8000 octets.If not configured, the default value will be 0x8000 bytes.

SendTrustedIssuerListSendTrustedIssuerList

Cette entrée contrôle l’indicateur qui est utilisé lors de l’envoi de la liste des émetteurs approuvés.This entry controls the flag that is used when the list of trusted issuers is sent. Dans le cas des serveurs qui font confiance à des centaines d’autorités de certification pour l’authentification du client, il y a trop d’émetteurs pour que le serveur puisse tous les envoyer à l’ordinateur client lors de la demande d’authentification du client.In the case of servers that trust hundreds of certification authorities for client authentication, there are too many issuers for the server to be able to send them all to the client computer when requesting client authentication. Dans ce cas, cette clé de Registre peut être définie, et au lieu d’envoyer une liste partielle, le SSP Schannel n’envoie aucune liste au client.In this situation, this registry key can be set, and instead of sending a partial list, the Schannel SSP will not send any list to the client.

Ne pas envoyer une liste d’émetteurs approuvés peut avoir un impact sur ce que le client envoie lorsqu’il reçoit une demande de certificat de client.Not sending a list of trusted issuers might impact what the client sends when it is asked for a client certificate. Par exemple, lorsqu’Internet Explorer reçoit une demande d’authentification du client, il affiche uniquement les certificats du client qui sont liés à l’une des autorités de certification qui est envoyée par le serveur.For example, when Internet Explorer receives a request for client authentication, it only displays the client certificates that chain up to one of the certification authorities that is sent by the server. Si le serveur n’a pas envoyé de liste, Internet Explorer affiche tous les certificats du client installés sur le client.If the server did not send a list, Internet Explorer displays all of the client certificates that are installed on the client.

Ce comportement peut être souhaitable.This behavior might be desirable. Par exemple, lorsque des environnements PKI incluent des certificats croisés, les certificats du client et du serveur n’ont pas la même autorité de certification racine ; par conséquent, Internet Explorer ne peut pas choisir un certificat qui est lié à l’une des autorités de certification du serveur.For example, when PKI environments include cross certificates, the client and server certificates will not have the same root CA; therefore, Internet Explorer cannot chose a certificate that chains up to one of the server's CAs. En configurant le serveur de manière à ce qu’il n’envoie pas de liste d’émetteurs approuvés, Internet Explorer envoie tous ses certificats.By configuring the server to not send a trusted issuer list, Internet Explorer will send all its certificates.

Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default.

Comportement de la liste envoyer un émetteur approuvé par défautDefault Send Trusted Issuer List behavior

Version de WindowsWindows version TimeTime
Windows Server 2012 et Windows 8 et versions ultérieuresWindows Server 2012 and Windows 8 and later FALSEFALSE
Windows Server 2008 R2 et Windows 7 et versions antérieuresWindows Server 2008 R2 and Windows 7 and earlier TRUETRUE

Versions applicables : Toutes les versions à partir de Windows Server 2008 et Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

ServerCacheTimeServerCacheTime

Cette entrée contrôle la durée en millisecondes nécessaire pour que le système d’exploitation fasse expirer les entrées de cache côté serveur.This entry controls the amount of time in milliseconds that the operating system takes to expire server-side cache entries. La valeur 0 désactive le cache de session côté serveur et empêche les reconnexions.A value of 0 disables the server-side session cache and prevents reconnection. Lorsque la valeur de cette entrée est supérieure aux valeurs par défaut, Lsass.exe consomme plus de mémoire.Increasing ServerCacheTime above the default values causes Lsass.exe to consume additional memory. Chaque élément du cache de session nécessite généralement 2 à 4 Ko de mémoire.Each session cache element typically requires 2 to 4 KB of memory. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default.

Versions applicables : Toutes les versions à partir de Windows Server 2008 et Windows Vista.Applicable versions: All versions beginning with Windows Server 2008 and Windows Vista.

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Heure du cache du serveur par défaut : 10 heuresDefault server cache time: 10 hours

SSL 2.0SSL 2.0

Cette sous-clé contrôle l’utilisation de SSL 2,0.This subkey controls the use of SSL 2.0.

À partir de Windows 10, version 1607 et Windows Server 2016, SSL 2,0 a été supprimé et n’est plus pris en charge.Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 2.0 has been removed and is no longer supported. Pour obtenir les paramètres par défaut SSL 2,0, consultez protocoles dans TLS/SSL (SSP Schannel).For a SSL 2.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole SSL 2,0, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the SSL 2.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé SSL 2,0SSL 2.0 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de SSL 2,0 sur le client SSL.Controls the use of SSL 2.0 on the SSL client.
ServerServer Contrôle l’utilisation de SSL 2,0 sur le serveur SSL.Controls the use of SSL 2.0 on the SSL server.

Pour désactiver SSL 2,0 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable SSL 2.0 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de SSL 2,0, elle est refusée.If an SSPI app requests to use SSL 2.0, it will be denied.

Pour désactiver SSL 2,0 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable SSL 2.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI explicitement les demandes d’utilisation du protocole SSL 2,0, elle peut être négociée.If an SSPI app explcitly requests to use SSL 2.0, it may be negotiated.

L’exemple suivant montre le chiffrement SSL 2,0 désactivé dans le registre :The following example shows SSL 2.0 disabled in the registry:

SSL 2,0 désactivé

SSL 3.0SSL 3.0

Cette sous-clé contrôle l’utilisation de SSL 3,0.This subkey controls the use of SSL 3.0.

À partir de Windows 10, version 1607 et Windows Server 2016, SSL 3,0 a été désactivé par défaut.Beginning with Windows 10, version 1607 and Windows Server 2016, SSL 3.0 has been disabled by default. Pour les paramètres par défaut SSL 3,0, consultez protocoles dans TLS/SSL (SSP Schannel).For SSL 3.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole SSL 3,0, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the SSL 3.0 protocol, create an Enabled entry in either the Client or Server subkey, as described in the following table.
Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé SSL 3,0SSL 3.0 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de SSL 3,0 sur le client SSL.Controls the use of SSL 3.0 on the SSL client.
ServerServer Contrôle l’utilisation de SSL 3,0 sur le serveur SSL.Controls the use of SSL 3.0 on the SSL server.

Pour désactiver SSL 3,0 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable SSL 3.0 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de SSL 3,0, elle est refusée.If an SSPI app requests to use SSL 3.0, it will be denied.

Pour désactiver SSL 3,0 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable SSL 3.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI demande explicitement l’utilisation de SSL 3,0, elle peut être négociée.If an SSPI app explicitly requests to use SSL 3.0, it may be negotiated.

L’exemple suivant montre le chiffrement SSL 3,0 désactivé dans le registre :The following example shows SSL 3.0 disabled in the registry:

SSL 3,0 désactivé

TLS 1.0TLS 1.0

Cette sous-clé contrôle l’utilisation de TLS 1,0.This subkey controls the use of TLS 1.0.

Pour les paramètres par défaut TLS 1,0, consultez protocoles dans TLS/SSL (SSP Schannel).For TLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole TLS 1,0, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the TLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé TLS 1,0TLS 1.0 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de TLS 1,0 sur le client TLS.Controls the use of TLS 1.0 on the TLS client.
ServerServer Contrôle l’utilisation de TLS 1,0 sur le serveur TLS.Controls the use of TLS 1.0 on the TLS server.

Pour désactiver TLS 1,0 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable TLS 1.0 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de TLS 1,0, elle est refusée.If an SSPI app requests to use TLS 1.0, it will be denied.

Pour désactiver TLS 1,0 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable TLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI demande explicitement l’utilisation de TLS 1,0, elle peut être négociée.If an SSPI app explicitly requests to use TLS 1.0, it may be negotiated.

L’exemple suivant montre le protocole TLS 1,0 désactivé dans le registre :The following example shows TLS 1.0 disabled in the registry:

TLS 1,0 désactivé

TLS 1.1TLS 1.1

Cette sous-clé contrôle l’utilisation de TLS 1,1.This subkey controls the use of TLS 1.1.

Pour les paramètres par défaut TLS 1,1, consultez protocoles dans TLS/SSL (SSP Schannel).For TLS 1.1 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole TLS 1,1, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the TLS 1.1 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé TLS 1,1TLS 1.1 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de TLS 1,1 sur le client TLS.Controls the use of TLS 1.1 on the TLS client.
ServerServer Contrôle l’utilisation de TLS 1,1 sur le serveur TLS.Controls the use of TLS 1.1 on the TLS server.

Pour désactiver TLS 1,1 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable TLS 1.1 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de TLS 1,1, elle est refusée.If an SSPI app requests to use TLS 1.1, it will be denied.

Pour désactiver TLS 1,1 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable TLS 1.1 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI demande explicitement l’utilisation de TLS 1,1, elle peut être négociée.If an SSPI app explicitly requests to use TLS 1.1, it may be negotiated.

L’exemple suivant montre le protocole TLS 1,1 désactivé dans le registre :The following example shows TLS 1.1 disabled in the registry:

TLS 1,1 désactivé

TLS 1.2TLS 1.2

Cette sous-clé contrôle l’utilisation de TLS 1,2.This subkey controls the use of TLS 1.2.

Pour les paramètres par défaut TLS 1,2, consultez protocoles dans TLS/SSL (SSP Schannel).For TLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole TLS 1,2, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the TLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé TLS 1,2TLS 1.2 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de TLS 1,2 sur le client TLS.Controls the use of TLS 1.2 on the TLS client.
ServerServer Contrôle l’utilisation de TLS 1,2 sur le serveur TLS.Controls the use of TLS 1.2 on the TLS server.

Pour désactiver TLS 1,2 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable TLS 1.2 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de TLS 1,2, elle est refusée.If an SSPI app requests to use TLS 1.2, it will be denied.

Pour désactiver TLS 1,2 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable TLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI demande explicitement l’utilisation de TLS 1,2, elle peut être négociée.If an SSPI app explicitly requests to use TLS 1.2, it may be negotiated.

L’exemple suivant montre le protocole TLS 1,2 désactivé dans le registre :The following example shows TLS 1.2 disabled in the registry:

TLS 1,2 désactivé

DTLS 1.0DTLS 1.0

Cette sous-clé contrôle l’utilisation de DTLS 1,0.This subkey controls the use of DTLS 1.0.

Pour les paramètres par défaut de DTLS 1,0, consultez protocoles dans TLS/SSL (SSP Schannel).For DTLS 1.0 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole DTLS 1,0, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the DTLS 1.0 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé DTLS 1,0DTLS 1.0 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de DTLS 1,0 sur le client DTLS.Controls the use of DTLS 1.0 on the DTLS client.
ServerServer Contrôle l’utilisation de DTLS 1,0 sur le serveur DTLS.Controls the use of DTLS 1.0 on the DTLS server.

Pour désactiver DTLS 1,0 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable DTLS 1.0 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de DTLS 1,0, elle est refusée.If an SSPI app requests to use DTLS 1.0, it will be denied.

Pour désactiver DTLS 1,0 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable DTLS 1.0 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI demande explicitement l’utilisation de DTLS 1,0, elle peut être négociée.If an SSPI app explicitly requests to use DTLS 1.0, it may be negotiated.

L’exemple suivant montre le DTLS 1,0 désactivé dans le registre :The following example shows DTLS 1.0 disabled in the registry:

DTLS 1,0 désactivé

DTLS 1,2DTLS 1.2

Cette sous-clé contrôle l’utilisation de DTLS 1,2.This subkey controls the use of DTLS 1.2.

Pour les paramètres par défaut de DTLS 1,2, consultez protocoles dans TLS/SSL (SSP Schannel).For DTLS 1.2 default settings, see Protocols in the TLS/SSL (Schannel SSP).

Chemin du Registre : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsRegistry path: HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Pour activer le protocole DTLS 1,2, créez une entrée activé dans la sous-clé client ou serveur, comme décrit dans le tableau suivant.To enable the DTLS 1.2 protocol, create an Enabled entry in either the Client or Server subkey as described in the following table. Par défaut, cette entrée n’existe pas dans le Registre.This entry does not exist in the registry by default. Après avoir créé l’entrée, remplacez la valeur DWORD par 1.After you have created the entry, change the DWORD value to 1.

Table de sous-clé DTLS 1,2DTLS 1.2 subkey table

Sous-cléSubkey DescriptionDescription
ClientClient Contrôle l’utilisation de DTLS 1,2 sur le client DTLS.Controls the use of DTLS 1.2 on the DTLS client.
ServerServer Contrôle l’utilisation de DTLS 1,2 sur le serveur DTLS.Controls the use of DTLS 1.2 on the DTLS server.

Pour désactiver DTLS 1,2 pour le client ou le serveur, remplacez la valeur DWORD par 0.To disable DTLS 1.2 for client or server, change the DWORD value to 0. Si une application SSPI demande l’utilisation de DTLS 1,0, elle est refusée.If an SSPI app requests to use DTLS 1.0, it will be denied.

Pour désactiver DTLS 1,2 par défaut, créez une entrée DisabledByDefault et remplacez la valeur DWORD par 1.To disable DTLS 1.2 by default, create a DisabledByDefault entry and change the DWORD value to 1. Si une application SSPI demande explicitement l’utilisation de DTLS 1,2, elle peut être négociée.If an SSPI app explicitly requests to use DTLS 1.2, it may be negotiated.

L’exemple suivant montre le DTLS 1,1 désactivé dans le registre :The following example shows DTLS 1.1 disabled in the registry:

DTLS 1,1 désactivé