Modifications dans Windows 11 affectant TLS 1.3 et les demandes de certificat client
Les récentes déclarations de Matt Hamrick, employé de Microsoft, soulignent des ajustements importants dans l’implémentation de TLS 1.3 (Transport Layer Security) sous Windows 11, notamment dans la gestion des demandes de certificats clients par Internet Information Services (IIS) et IIS Express. L’absence de prise en charge d’un processus appelé « renégociation » dans TLS 1.3 constitue un problème central. Microsoft a introduit cette modification pour améliorer la sécurité et l’efficacité, soulignant qu’elle contribuera à préserver la confidentialité de l’authentification client tout en minimisant les allers-retours et en réduisant la charge CPU.
Le compromis entre sécurité et compatibilité
Ce changement indique que même si Microsoft vise à renforcer la sécurité et les performances, certains problèmes de compatibilité sont apparus en conséquence, notamment pour des fonctionnalités spécifiques au sein du système d’exploitation.
Comprendre la renégociation TLS
Pour donner un contexte, la renégociation TLS était une fonctionnalité disponible dans TLS 1.2 et les protocoles antérieurs, permettant à un serveur d’initier une négociation supplémentaire au sein d’une session déjà chiffrée pour demander un certificat client. Sous Windows, ce processus de renégociation est facilité par la pile HTTP (appelée http.sys) et le package de sécurité Schannel, qui permet à IIS ou IIS Express de prendre le contrôle uniquement après la conclusion de la négociation initiale.
Modifications de comportement dans les dernières versions de Windows
Pour les installations exécutant des versions antérieures à Windows 11 24H2 ou Windows Server 2022, http.sysles connexions étaient interrompues si un certificat client était requis mais non inclus dans la configuration initiale, en particulier lorsque le client ne prend pas en charge l’authentification post-handshake. Cependant, à partir de Windows 11 24H2 et Windows Server 2025, http.sysune erreur « non pris en charge » est désormais renvoyée lorsqu’un certificat client est demandé après le handshake. Cette erreur déclenche une réponse HTTP 500 et le code d’erreur 0x80070032 d’IIS, indiquant « ERREUR_NON_PRIS_EN_CHARGE ».
Limitations de l’authentification post-Handshake
Microsoft a précisé que TLS 1.3 interdit la renégociation. Bien que le protocole propose une alternative appelée authentification client post-handshake, la plupart des utilisateurs, y compris les principaux navigateurs web, ne l’ont pas encore implémentée. Cette limitation implique que les certificats clients doivent être demandés lors du processus initial de handshake ; sinon, ils ne peuvent pas être demandés ultérieurement au cours de la session. En raison de l’architecture d’IIS et IIS Express, qui fonctionnent après http.sysla fin du handshake, une configuration préalable est nécessaire pour garantir que les certificats clients sont demandés dès le départ.
Corrections futures et état actuel
Fin août 2025, Microsoft n’avait proposé aucune solution pour IIS Express, ce qui a conduit Hamrick à exprimer son incertitude quant à la publication d’un correctif. Il a exprimé son indécision : « Honnêtement, je ne sais pas s’il y aura un correctif et à quoi il ressemblera, le cas échéant.»
À propos des services d’information Internet (IIS)
À titre d’information, Internet Information Services (IIS) est le serveur web robuste et extensible de Microsoft, conçu pour héberger des sites web et des applications sur les systèmes d’exploitation Windows.IISIl s’appuie sur le pilote du noyau Windows HTTP.syspour gérer le chiffrement TLS/SSL. Lors de la configuration d’une liaison HTTPS, IIS enregistre cette liaison applicationHost.configet l’utilise HTTP.syspour gérer la négociation TLS avec les clients, puis transmet les requêtes HTTP déchiffrées à IIS pour traitement ultérieur.
Qu’est-ce que IIS Express ?
En revanche, IIS Express est une version légère et autonome d’IIS (à partir de la version 7), optimisée pour le développement et les tests. Contrairement à la version complète d’IIS, qui nécessite le service d’activation des processus Windows pour gérer les applications web et est destinée à une utilisation en production, IIS Express peut fonctionner sans privilèges d’administrateur pour diverses fonctions et fonctionnalités, avec des configurations simplifiées.
Pour des informations plus détaillées, vous pouvez accéder au billet de blog officiel ici sur la communauté technologique de Microsoft.
Articles connexes:
La mise à jour KB5068221 de Windows 11 24H2 corrige les problèmes liés aux applications Office
14:15
Premier aperçu du jeu d’horreur Xbox OD de Hideo Kojima et Jordan Peele
13:30
Microsoft, Google et Apple font l’objet d’une enquête pour des mesures de protection contre les escroqueries en ligne
13:14
Laisser un commentaire