Mise à niveau des terminaux pour prendre en charge TLS 1.2 pour Umbrella Services

Options de téléchargement

  • PDF     (268.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (106.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (165.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:29 août 2025
ID du document:224757

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment préparer les terminaux et les applications pour les services Umbrella qui nécessitent TLS 1.2.

    TLS 1.2 Présentation des exigences

    À compter du 31 mars 2020, TLS (Transport Layer Security) 1.0 et 1.1 ne sont plus pris en charge par les serveurs et services Umbrella. Tous les terminaux doivent prendre en charge TLS 1.2 pour fonctionner correctement avec Umbrella.

    Mises à jour de la prise en charge TLS 1.0/1.1

    • À l’exception d’AnyConnect, du client d’itinérance Umbrella et du connecteur AD, Umbrella a mis fin à la prise en charge de TLS 1.0/1.1 en mars 2020.
    • En raison des dépendances du back-end, certains services de tableau de bord et d'API ont continué à accepter les connexions TLS 1.0/1.1 jusqu'au 27 janvier 2021. Après cette date, ces services n'acceptent plus les connexions TLS 1.0/1.1.
    • Les périphériques ne pouvant pas accéder au tableau de bord ou aux API doivent être vérifiés pour la prise en charge de TLS 1.2.

    Protection pour les périphériques clients AnyConnect ou itinérants

    Umbrella a prolongé la date limite au 27 janvier 2021 pour terminer la mise à niveau vers TLS 1.2. Il n’existe aucune autre prolongation. Les périphériques AnyConnect et Roaming Client ne répondant pas aux exigences TLS 1.2 après le 27 janvier 2021 ne sont plus protégés par Umbrella.

    Prise en charge de Secure Web Gateway

    • Umbrella ne prend pas en charge le trafic HTTPS utilisant TLS 1.0 ou 1.1 dans le produit Secure Gateway.
    • Avant le 27 janvier 2021, la passerelle Web sécurisée offrait une prise en charge limitée de ces protocoles uniquement lorsque le décodage HTTPS était désactivé.
    • Configurez tous les systèmes d'exploitation client pour prendre en charge TLS 1.2.
    • Mettez à niveau ou modifiez les applications autres que celles du navigateur, si nécessaire, pour garantir la compatibilité avec TLS 1.2. Contactez les fournisseurs d'applications pour obtenir des conseils.

    Connecteur Active Directory Umbrella requis

    Umbrella ne prend pas en charge les connecteurs Active Directory déployés sur les systèmes d'exploitation Windows qui ont atteint la fin de vie. Les connecteurs AD exécutés sur des versions Windows non prises en charge (Windows Server 2008, 2008 R2 ou Windows 7) cessent de se synchroniser avec Umbrella et passent à l'état d'erreur le 27 janvier 2021.

    Agents parapluie : Version minimale requise

    Client d'itinérance Windows ou module AnyConnect

    Client d'itinérance macOS ou module AnyConnect

    • Toute version d'Umbrella Roaming Client ou d'AnyConnect roaming module prend en charge TLS 1.2
    • Version macOS prise en charge : Version 10.9 ou ultérieure

    FAQ supplémentaire

    Que se passe-t-il si les terminaux ne sont pas mis à jour avant la date limite ?

    Les terminaux incapables de négocier une connexion TLS 1.2 ne peuvent pas accéder aux systèmes Umbrella, y compris le tableau de bord, les services proxy intelligents et les pages de blocage.
    Pour les clients exécutant le module d'itinérance Umbrella dans AnyConnect, le client d'itinérance Umbrella Enterprise ou le connecteur AD Umbrella, le client ne peut pas se connecter à un service Umbrella. Le client ne synchronise donc pas la configuration et l'état avec le tableau de bord Umbrella.

    Les clients itinérants existants cessent de s'activer et ne sont pas protégés au prochain démarrage du service. Les nouveaux clients qui ne prennent pas en charge TLS 1.2 ne peuvent pas s'enregistrer auprès d'Umbrella. Ces clients ne s'ouvrent pas ; DNS continue à résoudre via la pile réseau locale, mais les services de sécurité du client itinérant ne sont pas activés.

    Les périphériques qui tentent d'accéder à des sites bloqués ou ceux qui sont routés via le proxy intelligent ne peuvent pas se connecter. Les périphériques utilisant le client d'itinérance ne peuvent pas accéder aux sites Web Umbrella, aux pages de blocage ou aux services proxy.

    La clé de Registre fonctionne-t-elle pour les versions antérieures ?

    Oui, pour AnyConnect. Continuez à utiliser les versions plus anciennes après avoir appliqué la modification du Registre pour privilégier le chiffrement fort. Avant les versions minimales répertoriées, le client itinérant initiait des connexions HTTPS sans spécifier explicitement le cryptage fort TLS 1.2. Si .NET prend en charge TLS 1.2, il l'utilise par défaut. Les clés de registre imposent .NET d'utiliser strongcrypto, en répliquant les mises à jour dans les nouvelles versions du client. Les clients itinérants autonomes antérieurs à la dernière version ne sont pas pris en charge.

    Puis-je tester TLS 1.2 uniquement ?

    Oui. Désactivez TLS 1.0 et TLS 1.1 dans le Registre Windows pour vérifier que les périphériques fonctionnent entièrement avec TLS 1.2 uniquement.

    Pourquoi déprécier TLS 1.0 et 1.1 ?

    TLS 1.0 et 1.1 sont obsolètes et ne prennent pas en charge les algorithmes de chiffrement modernes. Ils contiennent des vulnérabilités que les pirates peuvent exploiter. L'Internet Engineering Task Force désapprouve les deux protocoles. La majorité du trafic Internet chiffré utilise TLS 1.2, qui a été introduit il y a plus de dix ans.

    Pourquoi le 31 mars 2020 a-t-il été sélectionné ?

    Le secteur désapprouve TLS 1.0 et 1.1 dans ce délai. Google, Microsoft, Apple, et Mozilla ont tous annoncé que leurs navigateurs ne prennent plus en charge TLS 1.0 et 1.1 depuis mars 2020.

    Cela peut-il avoir un impact sur les utilisateurs disposant de périphériques à jour ?

    Non. La plupart des sites Web prennent en charge TLS 1.2. Selon Qualys SSL Labs, 95,2 % des sites Web prennent en charge TLS 1.2. Ce chiffre devrait augmenter à l’approche de mars 2020. Un petit nombre de sites Web ne peuvent pas fonctionner, mais l'impact global sur l'utilisateur est minime. Assurez-vous que les périphériques à jour incluent la version correcte de .NET pour les ordinateurs Windows.

    Après la mise à jour d'un terminal pour TLS 1.2, une action supplémentaire est-elle nécessaire pour réactiver la prise en charge d'Umbrella ?

    Dans la plupart des cas, aucune autre mesure n'est requise. Le client rétablit la communication avec les systèmes Umbrella en utilisant le protocole TLS 1.2 sécurisé. Pour le client d'itinérance Umbrella Enterprise ou le client d'itinérance Umbrella pour AnyConnect, il peut y avoir un délai de restauration si le système était hors ligne lors d'une mise à jour logicielle du client. Le client doit télécharger les mises à jour avant que le service soit entièrement restauré.

    Comment puis-je confirmer la prise en charge des terminaux pour TLS 1.2 ?

    • Prise en charge du navigateur Web Windows

    • Prise en charge de Windows .NET Framework

      • S'applique au client d'itinérance d'entreprise, au module d'itinérance AnyConnect ou au connecteur AD.
      • .NET 4.6.2 ou version ultérieure prend en charge le protocole TLS 1.2 natif.
      • Les versions antérieures requièrent des modifications du registre (4.x) ou des modifications du registre et des correctifs manuels (3.5).
      • Ces informations s'appliquent au logiciel Umbrella exécuté sur .NET Framework, y compris le connecteur AD et le client d'itinérance.
      • Désactivez SSL, TLS 1.0 et TLS 1.1 au niveau du système d'exploitation en suivant les instructions fournies par Microsoft.
        blobid0.pngblobid0.png

    • Pour Apple Mac et autres systèmes

    • Effectuez le test SSL Labs Browser. Vérifiez qu'un « Oui » apparaît en regard de TLS 1.2 dans la section Protocoles.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    04-Sep-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits