SSL en mode noyau

le mode noyau SSL a été introduit dans Windows Server 2003 avec Service Pack 1 (SP1) avec prise en charge limitée. pour les ordinateurs qui exécutent sur Windows Server 2003 avec SP1, une clé de registre doit être configurée pour activer le SSL de noyau. pour les ordinateurs s’exécutant sur Windows Server 2008 et Windows Vista, la prise en charge du mode noyau complet pour SSL est fournie.

Les sections suivantes décrivent la prise en charge SSL en mode noyau :

  • Modes noyau SSL dans Windows Server 2003 avec SP1
  • SSL en Mode noyau dans Windows Server 2008 et Windows Vista

Modes noyau SSL dans Windows Server 2003 avec SP1

dans Windows server 2003 avec SP1, l’API du serveur HTTP offre la possibilité d’exécuter la sécurité ssl en mode noyau (le mode utilisateur est ssl par défaut). La fonctionnalité en mode noyau améliore les performances SSL en déplaçant les opérations de chiffrement et de déchiffrement vers le noyau, réduisant ainsi le nombre de transitions entre le mode noyau et le mode utilisateur.

Les fonctionnalités suivantes ne sont pas prises en charge lorsque SSL est exécuté en mode noyau :

  • Certificats clients
  • Chiffrements RC2
  • Le protocole PCT 1,0
  • Les modifications de configuration de certificat de serveur requièrent un redémarrage du service HTTP
  • Chiffrement en bloc et prise en charge du déchargement

Configuration du mode noyau SSL

Le mode noyau SSL est contrôlé par la valeur de Registre EnableKernelSSL et est activé en définissant la valeur sur 1. L’activation du mode noyau SSL désactive le mode utilisateur SSL et nécessite le redémarrage du service HTTP pour prendre effet. La clé de Registre EnableKernelSSL se trouve à l’emplacement suivant :

HKEY _ _ \ \ \ \ \ Paramètres http des services \ de CurrentControlSet de système d’ordinateur local EnableKernelSSL

SSL en Mode noyau dans Windows Server 2008 et Windows Vista

pour les ordinateurs qui exécutent sur Windows server 2008 et Windows Vista, l’API du serveur HTTP est dotée de fonctionnalités SSL améliorées.

Les nouvelles fonctionnalités suivantes sont prises en charge :

  • Prise en charge complète des certificats clients en mode noyau SSL
  • SSL en mode noyau pour toutes les transactions HTTP SSL
  • Chiffrement en bloc et prise en charge du déchargement
  • Le protocole PCT 1,0
  • Chiffrements RC2
  • Performances accrues par rapport au mode utilisateur SSL

Configuration

Le mode noyau SSL peut être configuré à l’aide de deux valeurs de Registre sous la clé des paramètres HTTP, à l’emplacement suivant :

HKEY_LOCAL_MACHINE
   System
      CurrentControlSet
         Services
            HTTP
               Parameters
                  EnableSslCloseNotify
                  DisableSslCertChainCacheOnlyUrlRetrieval

Un utilisateur doit disposer des privilèges administrateur/système local pour modifier les valeurs de Registre et afficher ou modifier les fichiers journaux et le dossier qui les contient.

Les informations de configuration dans les valeurs de Registre sont lues lorsque le pilote de l’API du serveur HTTP est démarré. Par conséquent, si les paramètres sont modifiés, le pilote doit être arrêté et redémarré pour lire les nouvelles valeurs. Pour ce faire, vous pouvez utiliser les commandes de console suivantes :

net stop http

NET START http

Le tableau suivant répertorie les valeurs de configuration du Registre.

Valeur de Registre Description
EnableKernelSSL Windows Server 2008 et Windows Vista : Cette valeur de Registre est obsolète.
EnableSslCloseNotify Valeur DWORD qui a la valeur true pour activer Close-Notify ou false pour désactiver la spécification de fermeture-notification. Fermer-Notify est désactivé par défaut.
Lorsque l’option fermer-notifier est activée, l’application cliente est requise pour envoyer un message de fermeture et de notification avant de fermer les connexions TCP. L’API du serveur HTTP envoie également une notification de fermeture avant de fermer la connexion.
Lorsque l’option fermer-notifier est activée et que le client envoie un message de fermeture-notification, l’API du serveur HTTP réutilise la session SSL sur les connexions futures au client. Si le client n’envoie pas de fermeture-notification, l’API du serveur HTTP ne réutilisera pas la même session SSL sur les connexions futures. Par conséquent, une liaison SSL complète est déclenchée sur la nouvelle connexion, ce qui réduit les performances.
[!Note]
L’activation de la fonction de fermeture-notification permet d’atténuer les attaques par troncation contre les requêtes et les réponses HTTPs.


Lorsque la fermeture-notification est désactivée, l’API du serveur HTTP réutilise la session SSL pour les connexions ultérieures.
DisableSslCertChainCacheOnlyUrlRetrieval Valeur DWORD définie sur true pour permettre à l’API du serveur http de récupérer des certificats intermédiaires à partir d’Internet ou du magasin local, ou false pour récupérer des certificats intermédiaires du magasin local uniquement. La valeur de Registre par défaut est false.
Par défaut, l’API du serveur HTTP crée une chaîne de certificats client en récupérant les certificats intermédiaires dans le magasin de l’autorité de certification intermédiaire sous le compte de l’ordinateur local. Si cette valeur est définie sur true , l’API du serveur http récupère les certificats intermédiaires non seulement dans le magasin local, mais également à partir de l’autorité de certification intermédiaire sur Internet.