Fonctionnalité TLS et terminologie associée

S’applique à : Exchange Server 2013

Microsoft Exchange Server 2013 fournit des fonctionnalités administratives et d'autres améliorations qui améliorent la gestion globale du protocole TLS (Transport Layer Security). Au fur et à mesure de l'utilisation de cette fonctionnalité, vous devez en savoir plus sur certaines des nouvelles fonctions du protocole TLS. Certains termes et concepts s'appliquent à plusieurs fonctionnalités TLS. Dans cette rubrique, de courtes explications pour chaque fonctionnalité vous sont fournies et vous aideront à comprendre certaines différences, ainsi que la terminologie générale relative au protocole TLS et à la fonctionnalité de sécurité du domaine définie :

  • Transport Layer Security : TLS est un protocole standard utilisé pour fournir des communications Web sécurisées sur Internet ou sur les intranets. It enables clients to authenticate servers or, optionally, servers to authenticate clients. It also provides a secure channel by encrypting communications. TLS is the latest version of the Secure Sockets Layer (SSL) protocol.

  • TLS mutuel : l’authentification TLS mutuelle diffère de TLS, car TLS est généralement déployé. Généralement, quand le protocole TLS est déployé, il est utilisé uniquement à des fins de confidentialité sous la forme de chiffrement. Aucune authentification ne se produit entre l'expéditeur et le destinataire. Parfois, quand le protocole TLS est déployé, seul le serveur de réception est authentifié. Le déploiement de TLS est habituel dans l'implémentation HTTP de TLS. Cette implémentation, dans laquelle seul le serveur de réception est authentifié, est appelée SSL.

    Avec l'authentification Mutual TLS, chaque serveur vérifie l'identité de l'autre serveur en validant un certificat fourni par celui-ci. Dans ce scénario, quand des messages sont reçus de domaines externes sur des connexions vérifiées dans un environnement Exchange 2013, Microsoft Outlook affiche une icône Domaine sécurisé.

  • Sécurité du domaine : La sécurité du domaine est l’ensemble des fonctionnalités, telles que la gestion des certificats, la fonctionnalité de connecteur et le comportement du client Outlook, qui active le protocole TLS mutuel en tant que technologie gérable et utile. La sécurité de domaine n'est pas prise en charge quand les messages sortants sont acheminés via un serveur d'accès au client Exchange 2013.

  • TLS opportuniste : dans Exchange 2013, le programme d’installation crée un certificat auto-signé. Par défaut, TLS est activé. Cela permet à tout système émetteur de chiffrer la session SMTP entrante dans Exchange. Par défaut, Exchange 2013 teste également le protocole TLS pour toutes les connexions distantes.

  • Confiance directe : par défaut, tout le trafic entre les serveurs de transport Edge et les serveurs de boîtes aux lettres est authentifié et chiffré. Le mécanisme sous-jacent pour l'authentification et le chiffrement est à nouveau mutual TLS. Au lieu d'utiliser une validation X.509, Exchange 2013 utilise une confiance directe pour authentifier les certificats. La confiance directe signifie que la présence du certificat dans Active Directory ou les services AD LDS (Active Directory Lightweight Directory Services) valide le certificat. Active Directory est considéré comme un mécanisme de stockage approuvé. Lorsque la confiance directe est utilisée, que le certificat soit auto-signé ou signé par une autorité de certification est sans importance. Quand vous abonnez un serveur de transport Edge à l'organisation Exchange, l'abonnement Edge publie le certificat du serveur de transport Edge dans Active Directory pour que les serveurs de boîtes aux lettres le valident. Le service Microsoft Exchange EdgeSync met à jour les services AD LDS avec l'ensemble des certificats de serveur de boîtes aux lettres pour validation par le serveur de transport Edge.