Configurer les suites de chiffrement obsolètes

4 juin 2018

La version 4.12 contient deux modifications importantes pour les protocoles de communications sécurisées TLS/DTLS : la prise en charge de DTLS 1.2 et la fin de prise en charge des suites de chiffrement TLS/DTLS qui ne proposent pas la fonctionnalité Forward Secrecy.

DTLS 1.2 prend en charge le protocole de transport UDP, l’équivalent de TLS 1.2 pour le protocole de transport TCP. Des versions antérieures de l’application Citrix Workspace pour Windows prenaient déjà en charge TLS 1.2.

Les suites de chiffrement avec le préfixe TLS_RSA_ ne proposent pas la fonctionnalité Forward Secrecy. De manière générale, ces suites de chiffrement sont maintenant obsolètes dans le secteur. Toutefois, pour prendre en charge la rétrocompatibilité avec les anciennes versions de Citrix Virtual Apps and Desktops, l’application Citrix Workspace pour Windows peut utiliser ces suites de chiffrement.

Un nouveau modèle d’administration d’objet de stratégie de groupe a été créé pour autoriser l’utilisation des suites de chiffrement obsolètes. Dans Citrix Receiver pour Windows 4.12, cette stratégie est activée par défaut, mais n’applique pas la fin de prise en charge de ces suites de chiffrement à l’aide des algorithmes de chiffrement AES ou 3DES par défaut. Toutefois, vous pouvez modifier et utiliser cette stratégie pour appliquer la fin de prise en charge de manière plus stricte.

Voici une liste des suites de chiffrement obsolètes :

  1. TLS_RSA_AES256_GCM_SHA384
  2. TLS_RSA_AES128_GCM_SHA256
  3. TLS_RSA_AES256_CBC_SHA256
  4. TLS_RSA_AES256_CBC_SHA
  5. TLS_RSA_AES128_CBC_SHA
  6. TLS_RSA_3DES_CBC_EDE_SHA
  7. TLS_RSA_WITH_RC4_128_MD5
  8. TLS_RSA_WITH_RC4_128_SHA

Remarque

Les deux dernières suites de chiffrement utilisent l’algorithme RC4 qui est obsolète car ces suites de chiffrement ne sont pas sécurisées. Vous pouvez également considérer la suite de chiffrement TLS_RSA_3DES_CBC_EDE_SHA comme étant obsolète. Vous pouvez utiliser cette stratégie pour appliquer toutes ces suites obsolètes.

Pour plus d’informations sur la configuration DTLS v1.2, consultez la section Transport adaptatif dans la documentation Citrix Virtual Apps and Desktops.

Remarque

Lorsque vous mettez à niveau ou installez l’application Citrix Workspace pour Windows pour la première fois, ajoutez les derniers fichiers de modèle à l’objet de stratégie de groupe local. Pour de plus amples informations sur l’ajout des fichiers de modèle à l’objet de stratégie de groupe local, consultez la section Configuration du modèle d’administration d’objet de stratégie de groupe. En cas de mise à niveau, les paramètres existants sont conservés lors de l’importation des derniers fichiers.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Routage réseau.
  3. Sélectionnez la stratégie Suites de chiffrement obsolètes.
  4. Sélectionnez Activé et choisissez l’une des options suivantes :
    1. TLS_RSA_: By default, TLS_RSA_ is selected. Cette option doit être sélectionnée pour vous permettre d’utiliser les deux autres suites de chiffrement. Les suites de chiffrement suivantes sont incluses lorsque vous sélectionnez cette option :
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5 : sélectionnez cette option pour utiliser la suite de chiffrement RC4-MD5.
    3. TLS_RSA_WITH_RC4_128_SHA : sélectionnez cette option pour utiliser la suite de chiffrement RC4_128_SHA.
  5. Cliquez sur Appliquer, puis sur OK.
  6. Exécutez gpupdate /force pour que les modifications prennent effet.

Le tableau suivant répertorie les suites de chiffrement compris dans chaque ensemble :

image localisée

Configurer les suites de chiffrement obsolètes

In this article