Skip To Content

Restreindre les protocoles TLS et les suites de chiffrement

En tant qu’administrateur ArcGIS Server, vous pouvez désigner les protocoles TLS (Transport Layer Security) et les algorithmes de chiffrement employés par ArcGIS Server pour sécuriser les communications. Il se peut que votre organisation doive utiliser des protocoles TLS et des algorithmes de chiffrement spécifiques, ou que le serveur web sur lequel vous déployez ArcGIS Server autorise uniquement certains protocoles et algorithmes. Lorsque vous indiquez qu'ArcGIS Server utilise des protocoles et algorithmes certifiés, vous garantissez la conformité de votre site aux stratégies de sécurité de votre organisation.

Après la découverte de la vulnérabilité POODLE en 2014, ArcGIS Server a abandonné la prise en charge des protocole SSL (Secure Sockets Layer) au niveau de la version 10.3 et des versions ultérieures, mais vous pouvez toujours voir que SSL est utilisé dans les logiciels pour faire référence aux protocoles TLS.

Protocoles TLS

Par défaut, ArcGIS Server utilise uniquement le protocole TLS version 1.2. Il est également possible d’activer les protocoles TLS 1.0 et 1.1 en procédant comme suit.

Algorithmes de chiffrement par défaut

ArcGIS Server est configuré par défaut pour utiliser les algorithmes de chiffrement suivants dans l'ordre indiqué ci-dessous :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA

Pour des raisons de sécurité, plusieurs algorithmes de chiffrement qui étaient activés par défaut dans les versions précédentes sont désormais désactivés. Si cela est nécessaire, vous pouvez toujours les activer pour les clients antérieurs. Consultez la section Référence des suites de chiffrement ci-dessous pour obtenir la liste complète des algorithmes pris en charge.

C'est le répertoire administrateur ArcGIS Server qui vous permet de désigner les protocoles SSL et les algorithmes de chiffrement que votre site utilisera.

  1. Ouvrez le répertoire administrateur ArcGIS Server et connectez-vous en tant qu’administrateur de votre site. L’URL est au format https://gisserver.domain.com:6443/arcgis/admin.
  2. Cliquez sur Sécurité > Config > Update.
  3. Dans la zone de texte Protocoles SSL, désignez les protocoles à utiliser. Si vous désignez plusieurs protocoles, séparez-les par une virgule. Par exemple : TLSv1.2, TLSv1.1.
    Remarque :

    Vérifiez que le serveur web qui héberge votre instance Web Adaptor peut pleinement communiquer via les protocoles que vous activez. Si vous utilisez une instance Java Web Adaptor, le serveur web hébergeant Web Adaptor doit utiliser Java 8 ou version ultérieure.

  4. Dans la zone de texte Suites de chiffrement, désignez les algorithmes de chiffrement à utiliser. Si vous désignez plusieurs algorithmes de chiffrement, séparez-les par une virgule. Par exemple : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Cliquez sur Mettre à jour. Une erreur est renvoyée si une suite de chiffrement ou un protocole non valide est indiqué.

Référence des suites de chiffrement

ID de chiffrementNomEchange de clésAlgorithme d'authentificationAlgorithme de chiffrementBitsAlgorithme de hachage
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA

Terminologie

  • ECDH : Elliptic-Curve Diffie-Hellman
  • DH : Diffie-Hellman
  • RSA : Rivest, Shamir, Adleman
  • ECDSA : algorithme de signature numérique à courbe elliptique
  • AES : norme de chiffrement avancée
  • GCM : Galois/Counter Mode, mode d’opération de chiffrement par bloc en cryptographie
  • CBC : Cipher Block Chaining
  • 3DES : Triple Data Encryption Algorithm
  • SHA : algorithme de hachage sécurisé