Vérifier la version TLS sur un serveur Windows peut être un peu intimidant si vous n’avez pas l’habitude de fouiller dans le registre, mais honnêtement, ce n’est pas si compliqué une fois que vous savez où chercher. Parfois, d’anciennes versions de TLS sont encore activées sur les serveurs, ce qui représente un risque de sécurité, d’autant plus que TLS 1.0 et 1.1 sont désormais considérés comme obsolètes et vulnérables. D’autres fois, les paramètres sont modifiés de manière aléatoire, ou le serveur prend simplement en charge d’anciens protocoles pour des raisons de compatibilité, ce qui n’est probablement plus le cas. S’assurer que les versions de TLS sont actives contribue donc à la sécurité et évite les erreurs étranges avec les clients modernes.
Comment vérifier la version TLS sur Windows Server
Accéder au registre — la première étape
Commencez par ouvrir l’Éditeur du Registre. C’est l’emplacement principal où Windows stocke tous les paramètres détaillés de vos protocoles de sécurité. Appuyez simplement sur Windows key + R, saisissez regedit, puis appuyez sur Entrée. Comme pour résoudre un problème obscur. Mais attention : ne cliquez pas n’importe où si vous n’êtes pas sûr. En général, il est conseillé de sauvegarder le registre au préalable, au cas où. D’expérience, sur certaines configurations, il est également conseillé d’exécuter l’application regediten tant qu’administrateur pour un accès complet.
Naviguer vers le bon chemin de registre
Une fois à l’intérieur, accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. C’est là que Windows conserve les informations sur les protocoles de sécurité pris en charge, comme TLS. Ces informations sont parfois masquées par des sous-clés ; vous devrez donc développer les dossiers correspondants. Si vous ne voyez pas certains dossiers de protocoles, comme TLS 1.0 ou TLS 1.2, cela peut signifier qu’ils sont désactivés ou non installés, selon votre version de Windows.
Explorer les sous-dossiers du protocole
Dans Protocoles, vous trouverez des dossiers portant le nom de chaque version de TLS, comme TLS 1.0, TLS 1.1 et TLS 1.2. Une fois développés, recherchez les clés Enabled et DisabledByDefault. Si vous êtes comme la plupart des gens, vous souhaiterez que Enabledla valeur 1 soit définie pour les versions que vous souhaitez activer. Si vous voyez DisabledByDefaultpour une version, c’est probablement le signe qu’elle est désactivée, sauf si vous activez ce paramètre.
Vérification des paramètres et activation du dernier TLS
C’est un peu étrange, mais sur certains serveurs, la clé « Enabled » peut être manquante ou mal définie. Assurez-vous simplement qu’elle est présente et définissez-la sur 1 pour les protocoles que vous souhaitez activer. Pour une sécurité accrue, désactivez les anciens protocoles comme TLS 1.0 et 1.1 en définissant leur clé « Enabled » sur 0. Cela permet d’éviter les handshakes et les exploits vulnérables. Après avoir effectué les modifications, vous devrez peut-être redémarrer le serveur, ou au moins les services associés. Cependant, il arrive parfois qu’un simple redémarrage suffise à rétablir la situation, car Windows applique les nouvelles valeurs de registre.
Pour information, ce n’est pas toujours parfait. Sur certaines configurations, il peut ignorer les modifications du registre si des stratégies de groupe les remplacent. Mais c’est quand même un bon moyen de savoir ce qui est activé.
Conseils pour vérifier la version TLS sur Windows Server
- Familiarisez-vous avec les dernières versions de TLS (comme TLS 1.2 et 1.3, si elles sont prises en charge).
- Pensez à désactiver TLS 1.0 et 1.1 s’ils sont toujours utilisés : ils sont désormais pratiquement obsolètes.
- Prenez l’habitude de revoir les paramètres du protocole de sécurité après des mises à jour importantes ou des modifications du serveur.
- Vérifiez les journaux du serveur si vous remarquez des problèmes de connexion étranges après avoir basculé les protocoles.
Questions fréquemment posées
Pourquoi la vérification TLS est-elle importante ?
Les versions TLS obsolètes peuvent constituer une porte dérobée pour les attaquants, et les clients modernes peuvent refuser de se connecter s’ils ne bénéficient pas d’une assistance adéquate. Maintenir votre serveur à jour minimise ces risques.
Puis-je exécuter plusieurs versions TLS en même temps ?
Oui, c’est courant. En général, il est préférable d’activer la dernière version et de désactiver les anciennes et moins sécurisées. Cependant, si vous avez besoin de compatibilité, il est parfois préférable d’en conserver quelques-unes activées. Sachez simplement que les versions les plus rapides et les plus sécurisées sont toujours préférables.
La modification du registre est-elle dangereuse ?
Cela peut arriver si vous ne savez pas ce que vous faites, mais si vous effectuez d’abord une sauvegarde et suivez attentivement les instructions, c’est généralement sans danger. Cependant, une seule erreur peut entraîner des erreurs étranges ; soyez donc prudent.
Que se passe-t-il si je trouve d’anciennes versions TLS activées ?
Désactivez-les en définissant « Activé » sur 0. Vérifiez ensuite si votre serveur ou vos applications fonctionnent toujours correctement. Si c’est le cas, tant mieux. Sinon, vous devrez peut-être adopter une autre approche, mais en général, il est préférable de maintenir les mises à jour.
À quelle fréquence dois-je vérifier ?
Au moins une fois par trimestre, surtout si votre serveur gère des informations sensibles ou est exposé à Internet ; plus souvent si vous mettez à jour TLS ou les politiques de sécurité.
Résumé
- Ouvrez regedit avec les droits d’administrateur.
- Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
- Vérifiez dans chaque dossier de version TLS pour Enabled et DisabledByDefault.
- Assurez-vous que les dernières versions de TLS sont actives et que les anciennes sont désactivées.
- Redémarrez si nécessaire pour appliquer les modifications.
Conclure
Parfois, il suffit de fouiller dans le registre pour comprendre ce que votre serveur prend en charge. C’est un peu compliqué, mais connaître son environnement TLS permet d’éviter les mauvaises surprises par la suite. Lors d’une configuration, j’ai constaté que TLS 1.0 était toujours activé, que j’ai désactivé, et tout semblait bien plus sécurisé par la suite. Honnêtement, c’est une étape facile qui peut vous éviter bien des soucis par la suite. Espérons que cela aidera d’autres utilisateurs à améliorer la sécurité de leur serveur sans perdre la tête.