Modification des restrictions du chiffrement TLS

Le protocole TLS utilise des clés publiques, des clés privées ainsi que des clés de sessions négociées. Chaque ensemble de certificat TLS dispose d'une paire de clés (une clé publique et une clé privée) et d'un certificat X.509 permettant aux propriétaires de certificats de s'identifier via le réseau et d'utiliser S/MIME pour chiffrer et signer des messages. Les certificats contiennent uniquement la moitié publique de la paire de clés. La clé privée est conservée dans le fichier ID pour le client Notes® et dans le fichier de jeu de clés ou la base de données cerstore.nsf pour le serveur TLS. A compter de Domino 12, Domino prend en charge les clés RSA et ECDSA. Pour plus d'informations, voir Prise en charge de la cryptographie ECDSA pour les comptes ACME et les clés hôte.

Pourquoi et quand exécuter cette tâche

La clé de session est négociée durant l'établissement de liaison, lequel sert principalement à générer la clé de session et à identifier le serveur face au client et, facultativement, le client par rapport au serveur. La taille de la clé de session est déterminée par le chiffrement mis en oeuvre. Par exemple, le chiffrement ECDHE_RSA_WITH_AES_256_GCM_SHA384 utilise une clé de session 256 bits et une paire de clés de serveur RSA. Le chiffrement ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 utilise une clé de session 128 bits et une paire de clés de serveur ECDSA. Les chiffrements qui commencent par ECDHE fournissent la confidentialité persistante à l'aide de la technologie de courbe elliptique comme décrit dans Deux nouvelles courbes prises en charge pour les chiffrements TLS 1.2 qui utilisent ECDHE pour la confidentialité persistante.

Vous pouvez limiter l'utilisation des chiffrements SSL pour les protocoles Internet Si aucun paramètre de configuration n'est défini, l'ensemble par défaut de chiffrements TLS est utilisé pour ce serveur Domino. Les chiffrements TLS par défaut sont mis à jour d'une édition à l'autre en fonction des bonnes pratiques de sécurité actuelles. Nous recommandons donc à la plupart des administrateurs d'utiliser les chiffrements par défaut.

Vous disposez de deux façons de configurer les chiffrements TLS, selon la méthode que vous choisissez pour configurer les protocoles Internet sur votre serveur Domino® :

  • Dans un document de site Internet. Si vous utilisez les documents de site Internet, vous pouvez spécifier un ensemble de paramètres de chiffrement TLS différent pour chaque protocole.
  • Via le document Serveur.

Pour plus d'informations sur la modification des restrictions de chiffrement TLS dans les documents de site Internet, voir Configuration de la sécurité pour les documents Site Internet dans les liens connexes.

Pour modifier les restrictions du chiffrement TLS dans le document Serveur

Procédure

  1. Dans Domino® Administrator, cliquez sur l'onglet Configuration, puis ouvrez le document Serveur dans l'annuaire Domino®.
  2. Cliquez sur Ports > Ports Internet > Web.
  3. Dans le champ Chiffrements TLS cliquez sur Modifier. La liste des spécifications de chiffrement TLS disponibles apparaît à l'écran.
  4. Sélectionnez la ou les spécifications qui vous intéressent, puis cliquez sur OK.
  5. Enregistrez et fermez le document.