Skip To Content

Restreindre les protocoles TLS et les suites de chiffrement

ArcGIS 11.4 (Linux)  | |  Archive de l’aide

En tant qu’administrateur ArcGIS Server, vous pouvez désigner les protocoles TLS (Secure Sockets Layer) et les algorithmes de chiffrement que ArcGIS Server utilise pour sécuriser les communications. Votre organisation peut être dans l’obligation d’utiliser des protocoles TLS ou des algorithmes de chiffrement spécifiques, ou le serveur Web sur lequel vous déployez ArcGIS Server peut n’autoriser que certains protocoles et algorithmes. Lorsque vous indiquez que ArcGIS Server utilise des protocoles et algorithmes certifiés, vous garantissez la conformité de votre site aux stratégies de sécurité de votre organisation.

Suite à la vulnérabilité POODLE survenue en 2014, ArcGIS Server ne prend plus en charge les protocoles SSL (Secure Sockets Layer) à partir de la version 10.3. Cependant, SSL reste utilisé dans le logiciel pour faire référence aux protocoles TLS.

Protocoles TLS

Par défaut, ArcGIS Server utilise uniquement les protocoles TLSv1.3 et TLSv1.2. Vous pouvez également activer les protocoles TLSv1 et TLSv1.1 en procédant comme indiqué ci-après.

Algorithmes de chiffrement par défaut

ArcGIS Server est configuré par défaut pour utiliser les algorithmes de chiffrement suivants dans l’ordre indiqué ci-dessous :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (TLSv1.3 uniquement)
  • TLS_AES_128_GCM_SHA256 (TLSv1.3 uniquement)

Pour des raisons de sécurisé, plusieurs algorithmes de chiffrement qui étaient activés par défaut dans les versions précédentes sont désactivés. Il est toujours possible de les réactiver si nécessaire pour les clients antérieurs. Consultez la section Référence des suites de chiffrement ci-dessous pour obtenir la liste complète des algorithmes pris en charge.

Utilisez le répertoire administrateur ArcGIS Server pour désigner les protocoles TLS et les algorithmes de chiffrement que votre site utilisera.

  1. Ouvrez le répertoire administrateur ArcGIS Server et connectez-vous en tant qu’administrateur de votre site.

    L’URL est au format suivant : https://gisserver.example.com:6443/arcgis/admin.

  2. Cliquez sur Sécurité > Config > Update.
  3. Dans la zone de texte Protocoles SSL, désignez les protocoles à utiliser. Si vous désignez plusieurs protocoles, séparez-les par une virgule, par exemple TLSv1.2, TLSv1.1.
    Remarque :

    Assurez-vous que le serveur Web hébergeant Web Adaptor peut parfaitement communiquer via les protocoles que vous activez.

  4. Dans la zone de texte Cipher Suites (Suites de chiffrement), désignez les suites de chiffrement à utiliser au format IANA. Séparez chaque algorithme par une virgule, par exemple : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Cliquez sur Update (Mettre à jour).

    Une erreur est renvoyée si une suite de chiffrement ou un protocole non valide est indiqué.

Référence des suites de chiffrement

ArcGIS Server prend en charge les algorithmes suivants :

ID de chiffrementNom (format IANA)Nom (format OpenSSL)Echange de clésAlgorithme d'authentificationAlgorithme de chiffrementBitsAlgorithme de hachage
0xC030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384ECDHRSAAES_256_GCM256SHA384
0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDHE-RSA-AES256-SHA384ECDHRSA AES_256_CBC256 SHA384
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHE-RSA-AES256-SHA ECDHRSA AES_256_CBC256SHA
0x009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHE-RSA-AES256-GCM-SHA384 DHRSA AES_256_GCM256 SHA384
0x006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DHE-RSA-AES256-SHA256DHRSA AES_256_CBC256 SHA256
0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHADHRSA AES_256_CBC256SHA
0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 AES256-GCM-SHA384RSARSA AES_256_GCM256 SHA384
0x003D TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256RSARSA AES_256_CBC256SHA256
0x0035 TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHARSARSA AES_256_CBC256SHA
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHRSA AES_128_GCM128SHA256
0xC027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-SHA256 ECDHRSA AES_128_CBC128SHA256
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDHE-RSA-AES128-SHAECDHRSA AES_128_CBC128SHA
0x009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256DHRSA AES_128_GCM128SHA256
0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE-RSA-AES128-SHA256DHRSA AES_128_CBC128SHA256
0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHADHRSA AES_128_CBC128SHA
0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256RSARSA AES_128_GCM128SHA256
0x003C TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256RSARSA AES_128_CBC128SHA256
0x002F TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHARSARSA AES_128_CBC128SHA
0xC012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA ECDHRSA 3DES_EDE_CBC168SHA
0x0016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHADHRSA 3DES_EDE_CBC168SHA
0x000A SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHARSARSA 3DES_EDE_CBC168SHA
0xC02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE-ECDSA-AES256-GCM-SHA384ECDHECDSAAES_256_GCM256SHA384
0xC024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE-ECDSA-AES256-SHA384ECDHECDSAAES_256_CBC256SHA384
0xC00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE-ECDSA-AES256-SHAECDHECDSAAES_256_CBC256SHA
0xC02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256ECDHECDSAAES_128_GCM128SHA256
0xC023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE-ECDSA-AES128-SHA256ECDHECDSAAES_128_CBC128SHA256
0xC009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE-ECDSA-AES128-SHAECDHECDSAAES_128_CBC128SHA
0xC008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDHE-ECDSA-DES-CBC3-SHAECDHECDSA3DES_EDE_CBC168SHA
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDH RSA CHACHA20 POLY1305 256 SHA256
0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDH ECDSA CHACHA20 POLY1305 256 SHA256
0x1301 TLS_AES_128_GCM_SHA256 (TLSv1.3 only) TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256
0x1302 TLS_AES_256_GCM_SHA384 (TLSv1.3 only) TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) TLS_CHACHA20_POLY1305_SHA256-- CHACHA20 POLY1305 256 SHA256

Terminologie

Les termes suivants sont utilisés dans la table ci-dessus :

  • ECDH : Elliptic-Curve Diffie-Hellman
  • DH : Diffie-Hellman
  • RSA : Rivest, Shamir, Adleman
  • ECDSA : Elliptic Curve Digital Signature Algorithm
  • AES : Advanced Encryption Standard
  • GCM : Galois/Counter Mode (mode d’opération de chiffrement par bloc en cryptographie)
  • CBC : Cipher Block Chaining
  • 3DES : Triple Data Encryption Algorithm
  • SHA : Secure Hashing Algorithm
  • CHACHA20 : chiffrement des flux ChaCha
  • POLY1305 : authentifiant Poly1305