Protocole TLS (Transport Layer Security)

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

Cette rubrique destinée aux professionnels de l’informatique décrit le fonctionnement du protocole TLS (Transport Layer Security) et fournit des liens vers les RFC (Request for Comments) de l’IETF (Internet Engineering Task Force) pour TLS 1.0, TLS 1.1 et TLS 1.2.

Remarque

Dans une version ultérieure de Windows Server, TLS 1.0 et 1.1 seront désactivés par défaut. Pour plus d’informations, consultez les ressources de désactivation TLS versions 1.0 et 1.1 .

Les protocoles TLS (et SSL) se trouvent entre la couche de protocole d’application et la couche TCP/IP, où ils peuvent sécuriser et envoyer des données d’application à la couche de transport. Étant donné que les protocoles fonctionnent entre la couche d’application et la couche de transport, les protocoles TLS et SSL peuvent prendre en charge plusieurs protocoles de couche d’application.

Les protocoles TLS et SSL supposent l’utilisation d’un transport orienté connexion, généralement TCP. Le protocole permet aux applications clientes et serveur de détecter les risques de sécurité suivants :

  • Falsification de messages

  • Interception de messages

  • Contrefaçon de messages

Les protocoles TLS et SSL peuvent être divisés en deux couches. La première couche se compose du protocole d’application et des trois protocoles d’établissement de liaison : le protocole d’établissement de liaison, le protocole de changement des spécifications de chiffrement et le protocole d’alerte. La deuxième couche est le protocole d’enregistrement.

Couches de protocole TLS et SSL

Le fournisseur SSP (Security Support Provider) Schannel implémente les protocoles TLS et SSL sans modification. Le protocole SSL est propriétaire, mais l’Internet Engineering Task Force produit les spécifications TLS publiques. Pour plus d’informations sur la version des protocoles TLS ou SSL prise en charge dans les versions de Windows, consultez Protocoles dans TLS/SSL (SSP Schannel). Chaque spécification contient des informations concernant les éléments suivants :

  • Le protocole d’enregistrement TLS

  • Les protocoles de négociation TLS : - Protocole de changement des spécifications de chiffrement - Protocole d’alerte

  • Les calculs de chiffrement

  • Les suites de chiffrement obligatoires

  • Le protocole de données d’application

RFC 5246 : Version 1.2 du protocole TLS (Transport Layer Security)

RFC 4346 : la version 1.1 du protocole TLS

RFC 2246 : la version 1.0 du protocole TLS

Reprise de session TLS

Introduit dans Windows Server 2012  R2, le SSP Schannel a implémenté la partie côté serveur de la reprise de session TLS. L’implémentation côté client de RFC 5077 a été ajoutée dans Windows 8.

Les périphériques qui connectent fréquemment TLS aux serveurs doivent se reconnecter. La reprise de session TLS réduit le coût d’établissement des connexions TLS, car une reprise implique l’établissement d’une liaison TLS abrégé. Cela facilite d’autres tentatives de reprise en permettant à un groupe de serveurs TLS de reprendre les sessions TLS des autres serveurs du groupe. Cette modification permet à tout client TLS prenant en charge la norme RFC 5077, y compris les appareils Windows Phone et Windows RT, de bénéficier des économies suivantes :

  • Utilisation des ressources sur le serveur réduite

  • Bande passante réduite, ce qui améliore l’efficacité des connexions client

  • Réduction du temps consacré aux établissements de liaison TLS grâce aux reprises de connexion

Pour plus d’informations sur la reprise de session TLS sans état, consultez le document IETF RFC 5077.

Négociation de protocole d’application

Windows Server 2012 R2 et Windows 8.1 ont introduit la prise en charge de la négociation du protocole d’application TLS côté client. Les applications peuvent donc exploiter les protocoles dans le cadre du développement standard HTTP 2.0, et les utilisateurs peuvent accéder à des services en ligne (comme Google et Twitter) à l’aide d’applications exécutant le protocole SPDY.

Pour plus d’informations sur le fonctionnement de la négociation de protocole d’application, consultez la rubrique Extension de la négociation de protocole à la couche d’application Transport Layer Security (TLS).

Prise en charge de TLS pour les extensions d’indication du nom du serveur

La fonctionnalité d’indication du nom de serveur étend les protocoles SSL et TLS pour permettre l’identification correcte du serveur lorsque de nombreuses images virtuelles s’exécutent sur un serveur unique. Dans un scénario d’hébergement virtuel, plusieurs domaines (chacun avec son propre certificat potentiellement distinct) sont hébergés sur un seul serveur. Dans ce cas, le serveur n’a aucun moyen de savoir au préalable quel certificat envoyer au client. La fonctionnalité SNI permet au client d’informer le domaine cible plus tôt au cours du protocole et permet au serveur de sélectionner correctement le certificat approprié.

Cela permet de bénéficier des fonctionnalités supplémentaires suivantes :

  • Héberger plusieurs sites web SSL sur une combinaison port/protocole Internet unique

  • réduisent l’utilisation de la mémoire lorsque plusieurs sites Web SSL sont hébergés sur un serveur Web unique ;

  • Permettre à plus d’utilisateurs de se connecter simultanément à des sites web SSL