Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vérifier l'utilisation de la clé RSA pour les certificats de serveur émis par les ancres de confiance locales (obsolète)
OBSOLÈTE : cette stratégie est obsolète et ne fonctionne pas après Microsoft Edge version 135.
Versions prises en charge
- Sur Windows et macOS depuis la version 123, jusqu’à la version 135
- Sur Android depuis 123, jusqu’à 135
Description
L’extension d’utilisation de la clé X.509 déclare comment la clé d’un certificat peut être utilisée. Ces instructions garantissent que les certificats ne sont pas utilisés dans un contexte inattendu, ce qui protège contre une classe d’attaques inter-protocoles sur HTTPS et d’autres protocoles. Les clients HTTPS doivent vérifier que les certificats de serveur correspondent aux paramètres TLS de la connexion.
À compter de Microsoft Edge 124, cette vérification est toujours activée.
Microsoft Edge 123 et versions antérieures ont le comportement suivant :
Si cette stratégie est définie sur Activé, Microsoft Edge effectue cette vérification de clé. Cela permet d’éviter les attaques où un attaquant manipule le navigateur pour interpréter une clé d’une manière que le propriétaire du certificat n’avait pas l’intention.
Si cette stratégie est définie sur Désactivé, Microsoft Edge ignore cette vérification de clé dans les connexions HTTPS qui négocient TLS 1.2 et utilisent un certificat RSA qui se rattache à une ancre de confiance locale. Les certificats racines fournis par une stratégie ou installés par l’utilisateur sont des exemples d’ancres de confiance locales. Dans tous les autres cas, la vérification est effectuée indépendamment du paramètre de cette stratégie.
Si cette stratégie n’est pas configurée, Microsoft Edge se comporte comme si la stratégie était activée.
Cette stratégie est disponible pour permettre aux administrateurs d’apercevoir le comportement d’une version future, qui activera cette vérification par défaut. À ce stade, cette stratégie reste temporairement disponible pour les administrateurs qui ont besoin de plus de temps pour mettre à jour leurs certificats afin de répondre aux nouvelles exigences d’utilisation des clés RSA.
Les connexions qui échouent à cette vérification échoueront avec l’erreur ERR_SSL_KEY_USAGE_INCOMPATIBLE. Les sites qui échouent avec cette erreur ont probablement un certificat mal configuré. Les suites de chiffrement ECDHE_RSA modernes utilisent l’option d’utilisation de clé « digitalSignature », tandis que les suites de chiffrement RSA héritées utilisent l’option d’utilisation de clé « keyEncipherment ». En cas d’incertitude, les administrateurs doivent inclure les deux dans les certificats RSA destinés au protocole HTTPS.
La stratégie a été obsolète à partir de Microsoft Edge version 136, mais la vérification de clé a toujours été activée depuis Microsoft Edge version 124.
Fonctionnalités prises en charge
- Peut être obligatoire : Oui
- Peut être recommandée : Non
- Actualisation dynamique de la stratégie : Oui
- Par profil : non
- S’applique à un profil connecté avec un compte Microsoft : oui
Type de données
- Booléen
Informations et paramètres Windows
Informations relatives à la stratégie de groupe (ADMX)
- Nom unique de la stratégie de groupe : RSAKeyUsageForLocalAnchorsEnabled
- Nom de la stratégie de groupe : Vérifiez l’utilisation de la clé RSA pour les certificats de serveur émis par les ancres de confiance locales (obsolète)
- Chemin d’accès de la stratégie de groupe (obligatoire) : Modèles d’administration/Microsoft Edge
- Chemin d’accès de la stratégie de groupe (recommandé) : N/A
- Nom du fichier ADMX de la stratégie de groupe : MSEdge.admx
Exemple de valeur
Enabled
Paramètres du Registre
- Chemin d’accès (obligatoire) : SOFTWARE\Policies\Microsoft\Edge
- Chemin d’accès (recommandé) : N/A
- Nom de la valeur : RSAKeyUsageForLocalAnchorsEnabled
- Type de valeur : REG_DWORD
Exemple de valeur de Registre
0x00000001
Informations et paramètres sur Mac
- Nom clé de la préférence : RSAKeyUsageForLocalAnchorsEnabled
- Exemple de valeur :
<true/>
Informations et paramètres Android
- Nom clé de la préférence : RSAKeyUsageForLocalAnchorsEnabled
- Exemple de valeur :
true