Okta met fin à la prise en charge de TLS 1.1 par les navigateurs
Okta comprend que notre service fiable fait partie intégrante du travail important que vous accomplissez. Garantir la sécurité de votre environnement est une priorité absolue. Okta a publié un plan visant à s'aligner sur les bonnes pratiques de l'industrie en apportant des changements d'infrastructure à notre prise en charge de Transport Layer Security (TLS) le 13 février 2018. Plus précisément, depuis le 1er août 2018, Okta ne prend en charge que les connexions TLS 1.2 et ne prend plus en charge TLS 1.0 et 1.1 en raison de vulnérabilités de sécurité.
Cet article décrit les modifications que vous devrez peut-être apporter aux navigateurs Microsoft Internet Explorer au sein de votre organisation. Pour obtenir des informations relatives à TLS 1.2 sur tous les produits et agents Okta, ainsi que le planning, consultez Migrations vers TLS 1.2.
Comment cela peut affecter votre org
Versions de navigateurs
- Le plus vulnérable : Internet Explorer 10 est défini par défaut pour utiliser TLS 1.1. Pour continuer à utiliser IE 10 (et les navigateurs intégrés sur les systèmes exécutant IE 10) avec Okta, vous devez vous assurer de configurer l'utilisation de TLS 1.2 sur vos navigateurs (). Vous pouvez utiliser un outil de gestion tel qu'un objet de politique de groupe (GPO) pour mettre à jour les options IE sur plusieurs postes de travail dans toute votre entreprise. Pour plus de détails, consultez Mettre à jour IE sur plusieurs postes de travail.
- Internet Explorer 11 est défini par défaut pour utiliser TLS 1.2. Si vous modifiez vos navigateurs IE 11 pour utiliser TLS 1.1 ou une version antérieure, vous devez configurer vos navigateurs pour qu'ils utilisent TLS 1.2 ().
- Les clients utilisant des navigateurs intégrés à IE (tels que les clients lourds de Microsoft Office 2016) fonctionneront correctement sur les systèmes dont les navigateurs IE sont configurés pour utiliser TLS 1.2. N'oubliez pas que, comme IE 10 n'est pas configuré par défaut avec TLS 1.2, les clients des navigateurs IE 10 intégrés rencontreront une erreur, à moins que ces navigateurs n'aient été configurés pour utiliser TLS 1.2.
- Edge : toutes les versions de Edge sont préconfigurées pour utiliser TLS 1.2.
- Chrome, Firefox et Safari : toutes les versions récentes de ces navigateurs sont préconfigurées pour utiliser TLS 1.2.
Mettre à jour le registre Windows si vous avez désactivé TLS 1.2 par le biais du registre
Vous devez mettre à jour votre registre Windows si vous avez désactivé TLS 1.2 par le biais du registre. Si cela s'applique aux postes de travail de votre org, mettez à jour le registre avec les valeurs suivantes pour vous assurer que vos utilisateurs finaux conservent l'accès à Okta et aux applications gérées par Okta.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000
Mettre à jour IE sur plusieurs postes de travail
Si cela convient à votre environnement, vous pouvez utiliser un outil de gestion tiers tel qu'un GPO pour mettre à jour les options IE sur plusieurs postes de travail dans toute votre entreprise.
(Depuis une procédure intitulée Désactiver SSL 3.0 et activer TLS 1.0, TLS 1.1 et TLS 1.2 pour Internet Explorer dans la politique de groupe dans cet article Microsoft) :
- Ouvrez Gestion des politiques de groupe.
- Dans l'éditeur de gestion des politiques de groupe, accédez à
- Double-cliquez sur le paramètre Désactiver la prise en charge du chiffrement pour modifier le paramètre.
- Cliquez sur Activé.
- Dans la fenêtre Options, remplacez le paramètre Combinaisons de protocoles sécurisés par un paramètre approprié qui active TLS 1.2, tel que Utiliser TLS 1.0, TLS 1.1 et TLS 1.2.
Remarque : il est important de sélectionner des versions consécutives. Le fait de ne pas sélectionner de versions consécutives (par exemple, sélectionner TLS 1.0 et 1.2, mais ne pas sélectionner TSL 1.1) peut entraîner des erreurs de connexion.
- Cliquez sur OK.
Activer TLS 1.2 sur .NET
TLS 1.2 est pris en charge par .NET 4.6 et versions ultérieures. Pour déterminer la version de .NET installée sur votre système :
- Ouvrez le registre en utilisant regedit.exe.
- Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
Remarque : le dernier chiffre peut être légèrement différent.
Si cette clé est manquante, .NET 4.6 n'est pas installé.
- Sous cette clé, recherchez les SKU clés et cherchez sous celle-ci : .NETFramework,Version=v4.6.
Si la clé n'est pas présente, .NET 4.6 n'est pas présent sur le système.
Le lien vers le programme d'installation de .NET 4.6.2 est : https://www.microsoft.com/fr-fr/download/details.aspx?id=53344.
Pour définir TLS 1.2, modifiez le registre comme suit :
- Ouvrez le registre en utilisant regedit.exe.
- Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
Remarque : le dernier chiffre peut être légèrement différent.
- Ajoutez la valeur DWORD du registre SchUseStrongCrypto sous l'option de registre .NET 4.0, comme indiqué ci-dessous.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"AspNetEnforceViewStateMac"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
Si vous utilisez ADFS, vous devez redémarrer le service après avoir activé TLS 1.2 sur .NET.
Rubriques connexes
Systèmes d'exploitation et navigateurs pris en charge
Installer silencieusement Okta Browser Plugin