Choisissez les bonnes suites de chiffrement dans Schannel.dll

La configuration correcte de votre serveur sous Windows est importante si vous voulez vous assurer que vous utilisez réellement les algorithmes de cryptage pour protéger les données qui vont du client (navigateur Web) au serveur et inversement.

Sur cette page, nous avons quelques informations de base sur le choix de la bonne suite de chiffrement à utiliser avec votre serveur Windows ainsi que sur la façon de la configurer. C'est une bonne idée de n'activer que ceux que vous allez utiliser et de désactiver le reste. Notez également que SSL 2.0 et autres peuvent ne pas être activés par défaut.

Présentation des suites de chiffrement et de Schannel.dll

Avant d'arriver à ce que vous devez faire pour changer les suites de chiffrement utilisées et les algorithmes et protocoles cryptographiques utilisés, nous allons expliquer brièvement le fichier Schannel.dll, y compris comment il utilise les suites de chiffrement pour déterminer les protocoles de sécurité à utiliser. . Ceci est configuré dans le registre pour Windows et n'est pas difficile à faire. Les instructions varient un peu en fonction du système d'exploitation et du serveur Web que vous utilisez.

Qu'est-ce que Schannel.dll?

En termes simples, Schannel.dll est une bibliothèque qui est le principal Microsoft TLS/Fournisseur de sécurité SSL. Il signifie Secure Channel et est utilisé par les serveurs Web Microsoft, y compris Windows Server 2003, Windows Server 2008, Windows 7, Windows Server 2008 R2 et d'autres, y compris les plus anciens comme Windows XP et Windows NT même. Nous en saurons plus sur les différences ci-dessous, mais pour l'instant, sachez simplement que Schannel.dll est utilisé pour déterminer le protocole à utiliser.

Qu'est-ce qu'une suite de chiffrement?

Une suite de chiffrement n'est rien de plus qu'un ensemble d'algorithmes cryptographiques. Les protocoles Schannel utilisent les différents algorithmes d'une suite de chiffrement particulière pour créer des clés et crypter des informations. En général, une suite de chiffrement spécifie un algorithme pour chacune des trois tâches suivantes:

• Échange de clés - Ces algorithmes sont asymétriques (algorithmes à clé publique) et fonctionnent bien avec de petites quantités de données. Ils sont utilisés pour protéger les informations nécessaires à la création de clés partagées pour des transactions sécurisées.
• Cryptage en masse - Cette tâche cryptera les messages échangés entre les clients et les serveurs. Ces algorithmes sont symétriques et ont tendance à très bien fonctionner, même avec de grandes quantités de données transférées.
• Authentification des messages - Ces algorithmes génèrent un message hashes et des signatures qui garantissent la intégrité d'un message.

Tous les éléments ci-dessus utilisent ALG_ID - un type de données qui spécifie un identifiant d'algorithme - pour indiquer au système d'exploitation quelle suite de chiffrement utiliser. Vous pouvez voir une liste de toutes les suites de chiffrement disponibles pour Schannel.dll sur le site Web de Microsoft ici.

Modification des suites de chiffrement dans Schannel.dll

Maintenant que vous en savez un peu plus sur les suites de chiffrement et Schannel.dll, il est temps de vous demander comment changer les algorithmes et protocoles cryptographiques réellement utilisés. Il est important de noter que même si vous modifiez ce que Schannel.dll utilise, le logiciel que vous utiliserez doit également prendre en charge les protocoles. Voici une liste des différents systèmes d'exploitation Windows que vous utilisez peut-être en tant que serveur.

• Windows Server standard 2012
• Windows Server Datacenter 2012
• Windows Server Enterprise 2008 R2
• Windows Server standard 2008 R2
• Windows Server Datacenter 2008 R2
• 7 Windows Enterprise
• Fenêtres 7 Professional
• Windows Server Enterprise 2008
• Windows Server standard 2008
• Windows Server Datacenter 2008
• 2003 Microsoft Windows Server, Enterprise Edition (32-bit x86)
• 2003 Microsoft Windows Server, Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, édition Web
• Microsoft Windows XP Professionnel
• Microsoft Windows XP Home Edition
• Microsoft Windows Server 2000
• Serveur avancé Microsoft Windows 2000
• Microsoft Windows 2000 Édition professionnelle
• Microsoft Windows NT Server 4.0 Édition Standard
• Microsoft Windows NT Server 4.0 Édition Entreprise
• Édition développeur de Microsoft Windows NT Workstation 4.0

Windows NT 4.0 Service Pack 6, Windows 2000, Windows XP, Windows 2003

Tout d'abord, nous allons examiner les systèmes d'exploitation Windows 2003 et antérieurs. Pour activer et désactiver différents protocoles, vous devez d'abord utiliser Regedt32.exe pour rechercher la clé de Registre suivante:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL

Ensuite, nous allons passer en revue les différentes sous-clés disponibles - et où vous souhaitez apporter vos modifications. Fondamentalement, pour activer l'un des éléments ci-dessous, définissez ses données de valeur DWORD sur 0xffffffff ou définissez-le sur 0x0 pour désactiver cette sous-clé particulière.

• SCHANNELProtocoles - Pour permettre au système d'utiliser les protocoles qui ne seront pas négociés par défaut (tels que TLS 1.1 et TLS 1.2), modifiez les données de la valeur DWORD de la valeur DisabledByDefault en 0x0 dans les clés de registre suivantes sous la clé Protocols:
• SCHANNELCiphers sous-clé - La clé de registre Ciphers sous la clé SCHANNEL est utilisée pour contrôler l'utilisation d'algorithmes symétriques tels que DES et RC4. Les éléments suivants sont des clés de registre valides sous la clé Ciphers.
• Sous-clé SCHANNEL / Hashes - La clé de registre Hashes sous la clé SCHANNEL est utilisée pour contrôler l'utilisation d'algorithmes de hachage tels que SHA-1 et MD5. Les éléments suivants sont des clés de registre valides sous la clé Hashes.
• Sous-clé SCHANNEL / KeyExchangeAlgorithms - La clé de registre KeyExchangeAlgorithms sous la clé SCHANNEL est utilisée pour contrôler l'utilisation d'algorithmes d'échange de clés tels que RSA. Les éléments suivants sont des clés de registre valides sous la clé KeyExchangeAlgorithms.

La source: Base de connaissances Microsoft

REMARQUE: pour que le fichier Schannel.dll reconnaisse toutes les modifications sous la clé de Registre SCHANNEL, vous devez redémarrer l'ordinateur.

Windows 7, Windows Server 2008 et versions ultérieures

Pour les systèmes d'exploitation plus récents, la configuration du registre est un peu différente. Voici les touches avec lesquelles vous allez vouloir travailler pour activer ou désactiver certains protocoles. Pour activer l'un des éléments ci-dessous, définissez ses données de valeur DWORD sur dword: 00000001 ou définissez-le sur dword: 00000000 pour désactiver cette sous-clé particulière.

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannel]
• "EventLogging" = dword: 00000001
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCiphers]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelCipherSuites]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelHashes]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelKeyExchangeAlgorithms]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocols]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0]
• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsSSL 2.0Client]
• «DisabledByDefault» = dword: 00000001

Windows Server 2008 prend en charge les protocoles suivants:

• SSL 2.0
• SSL 3.0
• TLS 1.0

Windows Server 2008 R2 et Windows 7 prennent en charge les protocoles suivants:

• SSL 2.0
• SSL 3.0
• TLS 1.0
• TLS 1.1
• TLS 1.2

La source: Base de connaissances Microsoft

Étude de cas: activer TLS 1.2 Chiffrements dans IIS 7.5, Server 2008 R2, Windows 7

Sur le blog de Derek Seaman, il a trouvé un astucieux script PowerShell en 2010 pour aider à activer TLS 1.2 chiffrements - quel cryptage AES-256 avec hachages SHA-256.

Cipher Suites dans Schannel.dll

Si vous avez des questions sur Cipher Suites dans Schannel.dll ou tout autre élément lié à Les certificats SSL et vous assurer que les données des visiteurs de votre site Web sont en sécurité à tout moment, n'hésitez pas à nous contacter. Nous ferons de notre mieux pour répondre à vos questions et vous orienter dans la bonne direction.