TLS (Transport Layer Security) est un protocole pour sécuriser l’échange de données entre un client et un serveur.
Pour des raisons de sécurité, vous souhaitez désactiver d’anciennes versions de TLS.
Par exemple, désactiver TLS 1.1 ou SSL 3.0.
Cet article vous guide pour modifier la version minimale du protocole TLS.
Table des matières
Les navigateurs WEB désactivent automatiquement les anciennes versions de TLS lorsqu’elles ne sont plus considérées comme étant sûr.
Vous n’avez donc normalement pas à vous soucier de cela sauf à des fins de tests.
Si vous avez sécurisé votre navigateur pour n’utiliser que TLS 1.1 / 1.2 mais que le serveur du site Web repose toujours sur des protocoles plus anciens et non sécurisés, sachez que vous pouvez rencontrer des problèmes de connexion à ce site.
Par exemple, cela peut générer le code erreur : SSL_ERROR_NO_CYPHER_OVERLAP
A ce moment là, il peut être nécessaire de réactiver une version précédente de TLS.
Google Chrome
Google Chrome ne propose pas d’option pour désactiver une version de TLS ou en définir une comme minimale.
On peut toutefois le faire avec un paramètre au lancement.
Ainsi, il faut créer un raccourci pour lancer Chrome avec ce paramètre.
- Sur le bureau de Windows, faites un clic droit puis Nouveau
- Cliquez sur Raccourci
- Ensuite dans l’emplacement du raccourci, copiez/collez la commande suivante
- Elle va lancer l’exécutable de chrome avec le paramètre –ssl-version-min=tls1.1 – Changer alors la version de TLS pour imposer une version minimale
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ssl-version-min=tls1.1
- Dans le nom du raccourci, saisissez Google Chrome TLS 1.1 min
- Lancez Chrome depuis ce dernier pour imposer la version minimale de TLS
Mozilla Firefox
- Dans la barre d’adresse, tapez «about: config» et appuyez sur Entrée
- Dans le champ «Recherche», saisissez «tls». Recherchez et double-cliquez sur l’entrée «security.tls.version.min»
- Définissez la valeur entière sur «2» pour forcer un protocole minimum de TLS 1.1 (entrer «3» forcerait TLS 1.2)
- Cette configuration affichera désormais la nouvelle valeur et prendra effet immédiatement.
Microsoft Edge
Edge étant basé sur Chromium, c’est donc le même principe qu’avec Google Chrome.
Il faut créer un raccourci de lancement.
Par exemple pour désactiver TLS 1.1 :
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --ssl-version-min=tls1.1
Désactiver version TLS sur Windows
Depuis les options internet
Depuis les options internet, vous pouvez définir les versions des protocoles TLS et SSL à utiliser.
Toutes les applications utilisant INET seront alors impactées.
- Dans la recherche de Windows, saisissez Options internet
- Puis cliquez sur l’onglet Avancé
- Descendez dans la partie Sécurité
- Les versions SSL et TLS supportés s’affichent alors. Décochez celles que vous ne voulez pas utiliser
Dans le registre Windows
La configuration du service SCHANNEL est stockée dans le registre Windows dans la clé : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
On peut alors créer une sous-clé avec le nom du protocole (SSL, TLS) afin d’activer ou désactiver ce dernier.
Par exemple :
- HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\client
- HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\client
Ainsi par exemple pour désactiver TLS 1.1 :
- Sur votre clavier, appuyez sur la touche + R
- Ensuite saisissez regedit et OK
- Puis déroulez l’arborescence suivante : HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
- Créez une-sous clé TLS 1.1 par un clic droit puis Nouveau > Clé
- Puis créez une nouvelle sous-clé Client
- Cliquez sur la clé Client, puis à droite, faites un clic droit Nouvelle valeur > D-Word (32-bits)
- Nommez la Enabled
- Double-cliquez dessus pour mettre à la valeur à 0 pour désactiver TLS 1.1.
- Répétez l’opération avec une valeur DisabledByDefault
Pour le réactiver, supprimez la valeur Enabled ou passez la à 1.