Déterminer quelles versions de TLS sont activées sur Windows Server peut s’avérer complexe, d’autant plus qu’il faut fouiller dans le registre. Ce n’est pas évident au premier abord, et parfois, les mises à jour ou les configurations ne sont pas clairement reflétées dans l’interface utilisateur. Si vous avez remarqué des erreurs SSL étranges ou souhaitez simplement vérifier la conformité de sécurité, ce processus vous permet de confirmer précisément quelles versions de TLS sont actives ; aucune incertitude n’est nécessaire. Attention : manipuler le registre n’est pas une mince affaire ; sauvegardez-le donc si vous prévoyez d’y apporter des modifications. Mais au moins, pour *vérifier* ce qui est activé, c’est assez simple une fois que vous savez où chercher. Cela vous permet de vous assurer que votre serveur prend en charge les protocoles les plus récents ou de désactiver les plus anciens et vulnérables. En résumé, vos communications sont beaucoup plus sûres et plus compatibles avec les clients les plus récents. De plus, certaines applications ou certains clients peuvent refuser de se connecter s’ils nécessitent TLS 1.2 ou 1.3 mais que celui-ci n’est pas activé. Savoir ce qui se passe peut donc vous éviter bien des frustrations par la suite. Bien sûr, Windows rend la tâche un peu plus complexe que de simplement consulter les paramètres : tout se trouve dans le registre, caché sous des clés spécifiques. Voici donc comment obtenir des informations précises sur vos versions TLS sans perdre la tête.
Comment vérifier la version TLS sur Windows Server
Vérification 1 : Ouvrir le registre en toute sécurité
Tout d’abord, accédez au registre. Cliquez sur Win + Rpour ouvrir la boîte de dialogue Exécuter. Tapez « » regeditet appuyez sur Entrée. Cela lance l’Éditeur du Registre, mais attention : il peut perturber votre système si vous faites des modifications excessives. Pour une simple vérification, c’est possible, mais si vous décidez de modifier, effectuez d’abord une sauvegarde. Vous pouvez exporter l’intégralité du registre via Fichier > Exporter, au cas où.
Vérification 2 : Accédez au chemin du registre des protocoles
Dans l’Éditeur du Registre, accédez à ce chemin : HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols. Effectivement, ce chemin est long et comporte de nombreuses barres obliques inverses, ainsi qu’une casse appropriée. Si vous utilisez une autre langue ou une configuration légèrement personnalisée, cela peut varier légèrement, mais la plupart des versions par défaut de Windows Server suivent ce chemin.
Vérification 3 : Inspecter les dossiers TLS
Dans cette clé de protocoles, recherchez les dossiers « TLS 1.0 », « TLS 1.1 », « TLS 1.2 » ou « TLS 1.3 ».S’ils n’y figurent pas, cela peut signifier que ces protocoles ne sont pas installés ou pris en charge, en particulier TLS 1.3, qui est plus récent et peut nécessiter des mises à jour ou des versions de Windows spécifiques. Il arrive que des dossiers plus anciens comme TLS 1.0 soient absents ou simplement désactivés.
Vérification 4 : Examinez la valeur DWORD activée
Cliquez sur un dossier de version spécifique et vérifiez s’il contient une valeur DWORD « Activé ».Si vous voyez 0x00000001 (1), cette version est bien activée. Si elle est absente ou si « Activé » est défini sur 0x00000000 (0), elle est désactivée. Dans certaines configurations, ces valeurs peuvent ne pas apparaître, sauf si vous avez initialement activé des fonctionnalités manuellement ; vous devrez donc peut-être les ajouter vous-même si vous souhaitez activer la prise en charge ultérieurement.
C’est un peu étrange, mais sur certains serveurs, les entrées de registre sont présentes mais ne sont pas réellement actives. C’est donc un moyen de voir ce qui est réellement activé. Vous saurez ainsi avec quelles versions de TLS votre serveur est réellement prêt à communiquer en SSL.
Conseils pour maintenir vos paramètres TLS en bon état
- Effectuez toujours une sauvegarde avant de modifier quoi que ce soit, car, bien sûr, Windows aime rendre les choses plus difficiles que nécessaire.
- Si vous découvrez une ancienne version de TLS comme 1.0 ou 1.1, envisagez de la désactiver si elle n’est pas nécessaire, car elles sont assez peu sécurisées à ce stade.
- Utilisez PowerShell si vous souhaitez automatiser ce processus ; les scripts peuvent rapidement analyser ou basculer entre les versions sans fouiller dans regedit.
- Vérifiez régulièrement et maintenez votre serveur à jour pour bénéficier de la dernière prise en charge TLS. Il est facile de l’oublier, mais les protocoles obsolètes sont des failles de sécurité.
- Apprenez-en plus sur les paramètres SCHANNEL si vous souhaitez un contrôle plus précis : parfois, les ajustements du registre ne suffisent pas et les stratégies de groupe ou les configurations de sécurité entrent en jeu.
Questions fréquemment posées
Qu’est-ce que TLS ?
Il s’agit du protocole de cryptage qui maintient la confidentialité de vos données pendant le transit. Considérez-le comme une poignée de main sécurisée pour les sites Web, les applications et les serveurs.
Pourquoi s’embêter à vérifier les versions TLS ?
Parce que les versions obsolètes sont vulnérables et que vous souhaitez que votre serveur prenne en charge les normes les plus récentes, en particulier si vous traitez des informations sensibles ou si vous souhaitez rester conforme.
Puis-je activer une version TLS que je vois comme désactivée ?
Oui. Il suffit de changer le DWORD « Activé » en 1. Mais encore une fois, effectuez d’abord une sauvegarde par mesure de sécurité. De plus, certaines versions peuvent nécessiter un redémarrage du serveur, ou au moins du service SCHANNEL, pour que les modifications soient prises en compte.
À quelle fréquence dois-je vérifier cela ?
Tous les quelques mois ou après des mises à jour majeures, en particulier si vous remarquez d’étranges erreurs SSL ou des problèmes de connexion client.
Et si je fais une erreur dans le registre ?
Les sauvegardes sont vos alliées. Restaurer une sauvegarde du registre est généralement simple, mais une erreur peut entraîner une instabilité du système. Alors, ne vous précipitez pas.
Résumé
- Ouvrez Exécuter ( Win + R), tapez
regedit. - Accédez à HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
- Recherchez les dossiers TLS 1.0, 1.1, 1.2, 1.3.
- Vérifiez le DWORD « Activé » dans chaque dossier.
Conclure
Maîtriser la prise en charge TLS de votre serveur n’est honnêtement pas si compliqué une fois que vous savez où chercher – et cela vaut la peine, surtout avec toutes les vulnérabilités existantes. C’est un aspect facile à négliger jusqu’à ce qu’une faille se produise ou qu’un audit de sécurité le révèle. Connaître les chemins d’accès au registre et les éléments à vérifier rend la situation moins mystérieuse, même si la navigation est un peu complexe au début. Cette méthode n’est pas parfaite, mais elle est rapide pour une vérification manuelle et constitue une bonne première étape pour s’assurer que votre serveur n’est pas vulnérable. Espérons que cela vous évitera bien des soucis par la suite.