Comment déployer un ordre de suite de chiffrement personnalisé dans Windows Server 2016

  • Article

Cet article fournit des informations pour vous aider à déployer un ordre personnalisé de suite de chiffrement pour Schannel dans Windows Server 2016.

S’applique à : Windows Server 2016
Numéro de la base de connaissances d’origine : 4032720

Résumé

Pour déployer votre propre ordre de suite de chiffrement pour Schannel dans Windows, vous devez hiérarchiser les suites de chiffrement compatibles avec HTTP/2 en répertoriant celles-ci en premier. Les suites de chiffrement qui se trouvent sur la liste de blocs HTTP/2 (RFC 7540) doivent apparaître en bas de votre liste. Par exemple :

Suites de chiffrement en mode chaînage de blocs de chiffrement (CBC) :

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Suites de chiffrement non-PFS (secret avant parfait) :

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Si les suites de chiffrement figurant dans la liste de blocs sont répertoriées en haut de votre liste, les clients et les navigateurs HTTP/2 peuvent ne pas négocier une suite de chiffrement compatible HTTP/2. Cela entraîne un échec d’utilisation du protocole.

Par exemple, lorsque vous utilisez Chrome, vous pouvez recevoir l’erreur ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY.

L’ordre par défaut dans Windows Server 2016 est compatible avec la préférence de suite de chiffrement HTTP/2. En outre, cet ordre est bon au-delà de HTTP/2, car il favorise les suites de chiffrement qui ont les caractéristiques de sécurité les plus fortes. Par conséquent, l’ordre par défaut garantit que HTTP/2 sur Windows Server 2016 n’aura aucun problème de négociation de suite de chiffrement avec les navigateurs et les clients.

Solution de contournement

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Si l’échec d’utilisation du protocole se produit, vous devez désactiver temporairement HTTP/2 pendant que vous réorganisez les suites de chiffrement.

Pour activer et désactiver HTTP/2, procédez comme suit :

  1. Démarrer regedit (Éditeur du Registre).
  2. Passez à cette sous-clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Définissez la valeur de type DWORD EnableHttp2Tls sur l’une des valeurs suivantes :
    • Définissez-le sur 0 pour désactiver HTTP/2.
    • Définissez-la sur 1 pour activer HTTP/2.
  4. Redémarrez l'ordinateur.

Références