Nous l’avons compris, votre patron n’arrêtera pas de parler de conformité PCI, et maintenant vous devez désactiver SSL 3.0 et TLS 1.0 sur votre machine Windows Server, ce qui peut ou non désactiver accidentellement SQL. Afin d « éviter que cela ne fasse le pas du désastre partiel vers le désastre total, tout ce que vous avez à faire est un peu de piratage du registre et supporter certaines mises à jour SQL et changements de référence. Essentiellement, cet article traite de la façon de faire fonctionner SQL avec SSL 3.0 et TLS 1.0 désactivés, pour atteindre la conformité PCI ou tout ce que cela peut vous aider à accomplir. Gardez à l’esprit que nous avons rendu cet article un peu plus amusant que d’habitude, mais vous voudrez le lire en entier afin d » éviter certaines des leçons que nous avons apprises.

Pour commencer, vous devez :

Étape 1 : créez les clés suivantes sous HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols

« SSL 3.0 » et « TLS 1.0 »

Étape 2 : Ensuite, sous chacune d’entre elles, vous devez créer 2 nouvelles clés :

« Client » et « Serveur »

Étape 3 : Après cela, sous chacune d’entre elles, vous devez créer 2 valeurs DWORD nommées :

« DisabledByDefault » et « Enabled ». DisabledByDefault se voit attribuer une valeur de 1, tandis que Enabled se voit attribuer une valeur de 0.

Notez que les captures d’écran concernent les valeurs des composantes serveur, mais que les valeurs des composantes clientes sont identiques.

C’était assez simple, non? Après cela, vous devez redémarrer votre serveur pour vous assurer que les valeurs de clé de registre sont appliquées et constater que toutes les applications qui avaient des connexions à votre serveur SQL 2008 ne fonctionnent plus malgré le fait qu’aucune d’entre elles ne nécessite un canal chiffré vers SQL. Un peu de recherche et vous voyez que SQL Server ne démarre même pas. Panique.

Vous commencez à chercher une solution sur Google et vous vous rendez vite compte que toutes les versions de SQL ne prennent pas en charge la désactivation de SSL 3.0 et TLS 1.0.

Consultez cet article de Microsoft sur TLS 1.0 et 1.2 pour les serveurs Microsoft SQL.

Vous mordez la balle et installez SQL 2014 avec le dernier et le meilleur service pack. SQL Server fonctionne à nouveau, super. Vous vérifiez que vos applications ont besoin de SQL et voyez qu’elles ne parviennent toujours pas à se connecter à SQL. Revenons à plus de fouilles et vous vous rendez compte que vous devez également installer des composants SQL côté client. En fait, le lien que vous aviez trouvé plus tôt le mentionnait, mais vous ne l’avez peut-être pas lu attentivement car vous paniquiez et vous vous dépêchiez de faire fonctionner les choses.

Vous téléchargez et installez rapidement le pilote ODBC 11 pour SQL Server et également SQL Server Native Client for Server 2012.

On pourrait penser que cela suffirait. Vous redémarrez votre serveur juste pour être sûr que tout va bien au démarrage, mais il échoue à nouveau. Certaines applications ne se connectent toujours pas à SQL Server. Heureusement, vous avez accès à leurs chaînes de connexion. Vous remarquez qu’ils ressemblent à : « ODBC :DRIVER=SQL Server; … ».

Vous vous rendez compte que vous utilisez le pilote SQL Server par défaut, et non les nouveaux que vous venez d’installer. Vous modifiez la chaîne de connexion pour qu’elle ressemble à : « ODBC :DRIVER={SQL Server Native Client 11.0}; … » et redémarrez l’application qui ne se connectait pas à SQL. Ça connecte! La vie est à nouveau belle.

Leçon apprise.

Donc, AVANT de désactiver SSL 3.0 et TLS 1.0 sur votre serveur Windows, sachez qu’il pourrait y avoir des conséquences majeures pour votre serveur SQL. Vous devez vous préparer à ce scénario en :

(1) Mise à jour de votre SQL Server vers SQL Server 2014 avec les plus récents Service Packs (ou plus récents). Selon le lien affiché ci-dessus, SQL Server 2008 peut également être corrigé par Je n’ai pas essayé ce scénario.

(2) Vous devez ensuite installer ou mettre à jour vos composants SQL Client (pilote ODBC 11 pour SQL Server et SQL Server Native Client for Server 2012 pour une mise à jour de SQL Server 2014). Notez que le lien ci-dessus contient des détails sur les clients nécessaires si vous appliquez des correctifs à votre SQL Server 2008 existant.

(3) Mettez à jour les chaînes de connexion SQL pour utiliser le pilote nouvellement installé en utilisant DRIVER={SQL Server Native Client 11.0} au lieu de DRIVER=SQL Server.

J’espère que cela vous aidera!