Activer TLS 1.1 et 1.2 sur Windows Server 2008 SP2

Nous avons réussi à faire fonctionner TLS 1.2 et 1.2 sur le serveur 2008 SP2.

Nous avons une application Win32 utilisée sur le serveur 2008 SP2 par de nombreux clients. L'application doit communiquer avec des sociétés de traitement de cartes de crédit qui ne prennent en charge que TLS 1.2 à partir d'avril 2018.

Voici la procédure que nous avons suivie :

1. Installer KB4019276 à partir de https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019276

2. Créer des clés de registre pour TLS 1.1 et TLS 1.2. Ces clés sont créées sous HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols comme documenté ici https://support.quovadisglobal.com/kb/a433/how-to-enable-tls-1_2-on-Windows-server-2008-r2.aspx

3. Activez TLS 1.1 et 1.2 dans Internet Explorer 9 comme indiqué ici. https://msfn.org/board/topic/176902-enabling-tls-1112-support-in-vistas-internet-explorer-9/

Instructions détaillées de l'étape 2 ci-dessus si l'URL est morte.

1. Recherchez la clé de registre suivante : HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

2. Cliquez avec le bouton droit de la souris sur le dossier Protocoles et sélectionnez Nouveau, puis Clé dans le menu déroulant. Cela créera un nouveau dossier. Renommez ce dossier TLS 1.2.

3. Faites un clic droit sur la clé TLS 1.2 et ajoutez deux nouvelles clés en dessous.

4. Renommez les deux nouvelles clés comme suit Client Serveur

5. Cliquez avec le bouton droit de la souris sur la clé Client et sélectionnez Nouveau, puis Valeur DWORD (32 bits) dans la liste déroulante.

6. Renommez le DWORD en DisabledByDefault.

7. Cliquez avec le bouton droit de la souris sur le nom DisabledByDefault et sélectionnez Modify... dans le menu déroulant.

8. Assurez-vous que le champ de données Valeur est réglé sur 0 et que la base est hexadécimale. Cliquez sur OK.

9. Créez un autre DWORD pour la clé Client comme vous l'avez fait à l'étape 7.

10. Renommez ce deuxième DWORD en Activé.

11. Cliquez avec le bouton droit de la souris sur le nom Enabled et sélectionnez Modify... dans le menu déroulant.

12 Assurez-vous que le champ de données Valeur est réglé sur 1 et que la base est hexadécimale. Cliquez sur OK.

13. Répétez les étapes 5 à 12 pour la clé Serveur (en créant deux DWORD, DisabledByDefault et Enabled, et leurs valeurs sous la clé Serveur).

14. Redémarrer le serveur.

Instructions détaillées à partir de l'étape 3 ci-dessus si l'URL est morte.

1. Après l'installation de la KB4019276, lancez regedit, de préférence en tant qu'administrateur, et naviguez jusqu'à

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.1

2. Supprimer la sous-clé "OSVersion"="3.6.1.0.0")

3. Accédez à HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions\CRYPTO\TLS1.2

4. Supprimez à nouveau la sous-clé "OSVersion"="3.6.1.0.0". Quittez l'éditeur du registre.

5. Lancez IE9 ; Outils -> Options Internet -> Onglet Avancé -> Faites défiler l'écran jusqu'à "Sécurité" :

6. Avant KB4019276 et les manipulations de registre, seule l'option "Utiliser TLS 1.0" était disponible sur Vista ; vous devriez déjà avoir décoché les anciennes options "Utiliser SSL 2.0/3.0", pour éviter d'être la cible d'attaques "POODLE" ; décochez "Utiliser TLS 1.0" (éventuellement aussi "Utiliser TLS 1.1") et cochez "Utiliser TLS 1.2".

7. Cliquez sur Appliquer, OK, puis quittez IE9.

8. Au redémarrage d'IE9, vous constaterez que vous pouvez désormais visiter tous les sites qui ne se chargeaient pas auparavant en raison de protocoles TLS non pris en charge :