16/12/2024

Microsoft IIS

IIS 8.5 : Désactiver le protocole SSL 3.0

I. Présentation

Dans ce tutoriel, nous allons désactiver le protocole SSL 3.0 dans IIS (Internet Information Services), le serveur web applicatif que l'on trouve sur les systèmes d'exploitation Windows.

Pourquoi désactiver le protocole SSL 3.0 ?

Premièrement, ce protocole est obsolète puisque maintenant il faut utiliser son successeur : le protocole TLS. Deuxièmement, la version 3 du protocole SSL a récemment fait l'objet d'une vulnérabilité critique, appelée Poodle.

Pour en savoir plus sur Poodle : Poodle SSLv3

POODLE - Padding Oracle On Downgraded Legacy Encryption – CVE-2014-3566

Pour ma part, je procède sous Windows 8.1 pour la version IIS 8.5.

II. Désactiver SSLv3 IIS

Tout se passe dans le registre. De ce fait, accédez à l'éditeur de registre : regedit.exe. Sous Windows 8/8.1 ou Server 2012/2012 R2, effectuez un clic droit dans le coin en bas à gauche et cliquez sur "Exécuter". Là, saisissez "regedit" et validez.

ssliis1

Naviguez dans l'éditeur de registre en parcourant l'arborescence comme ceci :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\

Vous obtiendrez une fenêtre semblable à la mienne :

ssliis2

Vous remarquez la présence d'une clé "SSL 2.0" sous "Protocols", il va falloir créer une clé "SSL 3.0" sous la clé "Protocols". Pour cela, effectuez un clic droit sur la clé "Protocols" - "Nouveau" - "Clé" - comme ceci :

ssliis3

Après avoir obtenu une clé nommée "SSL 3.0", créez deux sous-clés : "Client" et "Server". Effectuez un clic droit sur "SSL 3.0" - "Nouveau" - "Clé", indiquez "Client" en nom et recommencez l'opération pour créer une seconde clé nommée "Server".

L'arborescence est désormais créée, nous allons pouvoir créer les 2 valeurs qui permettent de désactiver SSLv3.

Tout d'abord, dans la clé "Client" créez une nouvelle valeur : clic droit sur "Client", "Nouveau", "Valeur DWORD 32 bits".

ssliis4

Nommez cette valeur "DisabledByDefault" et double cliquez dessus pour changer sa valeur, indiquez "1" pour que le SSLv3 soit désactivé par défaut pour les clients.

ssliis5

Maintenant, intéressons-nous à la valeur à créer sous la clé "Server". Effectuez un clic droit sur "Server", puis cliquez sur "Nouveau" et "Valeur DWORD 32 bits" (comme pour la valeur précédente).

Nommez cette clé "Enabled", validez et double cliquez dessus pour changer la valeur. Cette fois-ci, indiquez "0" comme valeur pour désactiver SSLv3 sur le serveur.

ssliis6

Les modifications sont désormais terminées, il ne reste plus qu'à redémarrer votre serveur pour rendre effectif les changements effectués.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.