Désactivé TLS 1.0 sur Windows Server

Selon le PCI Security Standards Council il serait recommandé de migrer du protocole Transport Layer Security (TLS) version 1.0 vers une version plus récente et cela pour le 30 juin 2018. Présentement, sur mon site web qui roule sous Windows Server 2012 R2, TLS 1.0 est encore disponible.

Dans un article précédent j’avais expliqué comment augmenter la sécurité d’un site web. Celui-ci sera similaire, sauf qu’au lieu d’aller éditer le registre de Windows directement, le logiciel IIS Crypto sera utilisé. Cela va grandement simplifier la tâche.

Il suffit d’ouvrir l’application et de décocher TLS 1.0 dans la section Protocols:

IIS Crypto 2.0
IIS Crypto 2.0 avec la case à cocher TLS 1.0 vide
Par la suite il faut cliquer sur le bouton Apply et redémarrer le serveur.

Pour vérifier que tout a bien fonctionné, on peut utiliser l’outil SSL Server Test de SSL Labs:

No TLS 1.0
TLS 1.0 n’est plus disponible

Voilà, maintenant votre serveur devrait être plus sécuritaire.

Augmenter la sécurité d’un site web utilisant SSL

Dernièrement je me suis fais présenter l’outil SSL Server Test de SSL Labs. C’est une application en ligne qui permet de tester la sécurité d’une site web. J’avais récemment installé un certificat SSL sur le serveur d’un ami. Il s’agit d’un certificat généré gratuitement par Let’s Encrypt. Donc, je croyais bien obtenir une bonne note. Eh bien… non! J’ai obtenu la note de B.

Voici les deux problèmes qui me limitaient à cette cote.

  • This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B.
  • This server accepts RC4 cipher, but only with older browsers. Grade capped to B.

Le site web est hébergé sur Windows Server 2012 R2. Donc les prochaines étapes pour régler ces problèmes de sécurité ont seulement été testées avec cette version de Windows. Si vous les appliquez, voici ce qui pourrait arriver:

Cote B vers A-
Cote B vers A-

A- ce n’est pas A ou même A+, mais c’est un bon départ.

Tous ces problèmes peuvent se régler dans l’Éditeur du Registre. On peut le démarrer avec la commande regedit.exe

Pour régler le problème avec Diffie-Hellman on doit aller dans la clef suivante:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SChannel\KeyExchangeAlgorithms
Si elle n’existe pas on doit créer la sous-clef Diffie-Hellman
Dans la clef Diffie-Hellman, on doit créer une valeur DWORD nommé Enabled dont la donnée est 0.

Maintenant passons à l’algorithme de chiffrement RC4 (Rivest Cipher 4) qui est désuet. On doit aller dans la clef suivante:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
Il va ensuite falloir créer les trois sous-clefs suivantes: RC4 128/128, RC4 40/128 et RC4 56/128.
Pour chacune de ces clefs, on doit créer une valeur DWORD nommé Enabled dont la donnée est 0.

Registry Editor - SCHANNEL key
Éditeur du Registre – clef SCHANNEL

Vous pouvez maintenant fermer l’Éditeur du Registre et redémarrer votre serveur pour appliquer les modifications.

Si vous désirez annuler ces changements il suffit de mettre la valeur Enabled à 0xffffffff. Vous pouvez aussi simplement supprimer la valeur Enabled.

J’espère que cet article vous aidera à augmenter la sécurité de votre site en évitant d’exposer des méthodologies faibles ou insécures.