Protocole TLS (Transport Layer Security)
Cette rubrique destinée aux professionnels de l’informatique décrit le fonctionnement du protocole TLS (Transport Layer Security) et fournit des liens vers les RFC (Request for Comments) de l’IETF (Internet Engineering Task Force) pour TLS 1.0, TLS 1.1 et TLS 1.2.
Remarque
Dans une version ultérieure de Windows Server, TLS 1.0 et 1.1 seront désactivés par défaut. Pour plus d’informations, consultez les ressources de désactivation TLS versions 1.0 et 1.1 .
Les protocoles TLS (et SSL) se trouvent entre la couche de protocole d’application et la couche TCP/IP, où ils peuvent sécuriser et envoyer des données d’application à la couche de transport. Étant donné que les protocoles fonctionnent entre la couche d’application et la couche de transport, les protocoles TLS et SSL peuvent prendre en charge plusieurs protocoles de couche d’application.
Les protocoles TLS et SSL supposent l’utilisation d’un transport orienté connexion, généralement TCP. Le protocole permet aux applications clientes et serveur de détecter les risques de sécurité suivants :
Falsification de messages
Interception de messages
Contrefaçon de messages
Les protocoles TLS et SSL peuvent être divisés en deux couches. La première couche se compose du protocole d’application et des trois protocoles d’établissement de liaison : le protocole d’établissement de liaison, le protocole de changement des spécifications de chiffrement et le protocole d’alerte. La deuxième couche est le protocole d’enregistrement.
Couches de protocole TLS et SSL
Le fournisseur SSP (Security Support Provider) Schannel implémente les protocoles TLS et SSL sans modification. Le protocole SSL est propriétaire, mais l’Internet Engineering Task Force produit les spécifications TLS publiques. Pour plus d’informations sur la version des protocoles TLS ou SSL prise en charge dans les versions de Windows, consultez Protocoles dans TLS/SSL (SSP Schannel). Chaque spécification contient des informations concernant les éléments suivants :
Le protocole d’enregistrement TLS
Les protocoles de négociation TLS : - Protocole de changement des spécifications de chiffrement - Protocole d’alerte
Les calculs de chiffrement
Les suites de chiffrement obligatoires
Le protocole de données d’application
RFC 5246 : Version 1.2 du protocole TLS (Transport Layer Security)
RFC 4346 : la version 1.1 du protocole TLS
RFC 2246 : la version 1.0 du protocole TLS
Reprise de session TLS
Introduit dans Windows Server 2012 R2, le SSP Schannel a implémenté la partie côté serveur de la reprise de session TLS. L’implémentation côté client de RFC 5077 a été ajoutée dans Windows 8.
Les périphériques qui connectent fréquemment TLS aux serveurs doivent se reconnecter. La reprise de session TLS réduit le coût d’établissement des connexions TLS, car une reprise implique l’établissement d’une liaison TLS abrégé. Cela facilite d’autres tentatives de reprise en permettant à un groupe de serveurs TLS de reprendre les sessions TLS des autres serveurs du groupe. Cette modification permet à tout client TLS prenant en charge la norme RFC 5077, y compris les appareils Windows Phone et Windows RT, de bénéficier des économies suivantes :
Utilisation des ressources sur le serveur réduite
Bande passante réduite, ce qui améliore l’efficacité des connexions client
Réduction du temps consacré aux établissements de liaison TLS grâce aux reprises de connexion
Pour plus d’informations sur la reprise de session TLS sans état, consultez le document IETF RFC 5077.
Négociation de protocole d’application
Windows Server 2012 R2 et Windows 8.1 ont introduit la prise en charge de la négociation du protocole d’application TLS côté client. Les applications peuvent donc exploiter les protocoles dans le cadre du développement standard HTTP 2.0, et les utilisateurs peuvent accéder à des services en ligne (comme Google et Twitter) à l’aide d’applications exécutant le protocole SPDY.
Pour plus d’informations sur le fonctionnement de la négociation de protocole d’application, consultez la rubrique Extension de la négociation de protocole à la couche d’application Transport Layer Security (TLS).
Prise en charge de TLS pour les extensions d’indication du nom du serveur
La fonctionnalité d’indication du nom de serveur étend les protocoles SSL et TLS pour permettre l’identification correcte du serveur lorsque de nombreuses images virtuelles s’exécutent sur un serveur unique. Dans un scénario d’hébergement virtuel, plusieurs domaines (chacun avec son propre certificat potentiellement distinct) sont hébergés sur un seul serveur. Dans ce cas, le serveur n’a aucun moyen de savoir au préalable quel certificat envoyer au client. La fonctionnalité SNI permet au client d’informer le domaine cible plus tôt au cours du protocole et permet au serveur de sélectionner correctement le certificat approprié.
Cela permet de bénéficier des fonctionnalités supplémentaires suivantes :
Héberger plusieurs sites web SSL sur une combinaison port/protocole Internet unique
réduisent l’utilisation de la mémoire lorsque plusieurs sites Web SSL sont hébergés sur un serveur Web unique ;
Permettre à plus d’utilisateurs de se connecter simultanément à des sites web SSL