Vérifier l'utilisation de la clé RSA pour les certificats de serveur émis par les ancres de confiance locales (obsolète)

Description

OBSOLÈTE : cette stratégie est obsolète et ne fonctionne pas après Microsoft Edge135. L’extension d’utilisation de la clé X.509 déclare comment la clé d’un certificat peut être utilisée. Ces instructions permettent de s’assurer que les certificats ne sont pas utilisés dans un contexte inattendu, ce qui protège contre une classe d’attaques inter-protocoles sur HTTPS et d’autres protocoles. Les clients HTTPS doivent vérifier que les certificats de serveur correspondent aux paramètres TLS de la connexion. Début dans Microsoft Edge 124,cette est toujours activé. Microsoft Edge 123 et versions antérieures ont le comportement suivant : Lorsque cette stratégie est activée, Microsoft Edge effectue cette vérification de de clé. Cela permet d’éviter les attaques par lesquelles un attaquant manipule le navigateur pour lui faire interpréter une clé d’une manière non prévue par le propriétaire du certificat. Lorsque cette stratégie est désactivée, Microsoft Edge ignore cette vérification de clé dans les connexions HTTPS qui négocient TLS 1.2 et utilisent un certificat RSA qui est lié à une ancre d’approbation locale. Parmi les exemples d’ancres d’approbation locales, on compte les certificats racines fournis par la stratégie ou installés par l’utilisateur. Dans tous les autres cas, la vérification est effectuée indépendamment du paramètre de cette stratégie. Si cette stratégie n’est pas configurée, Microsoft Edge se comporte comme si la stratégie est activée. Cette stratégie permet aux administrateurs d’afficher un aperçu du comportement d’une version ultérieure, ce qui active cette vérification par défaut. À ce stade, cette stratégie reste temporairement disponible pour les administrateurs qui ont besoin de plus de temps pour mettre à jour leurs certificats pour répondre aux nouvelles exigences d’utilisation des clés RSA. Les connexions qui échouent à cette vérification échouent avec l’erreur ERR_SSL_KEY_USAGE_INCOMPATIBLE. Les sites qui échouent avec cette erreur ont probablement un certificat mal configuré. Les suites de chiffrement ECDHE_RSA modernes utilisent l’option d’utilisation de clé « digitalSignature », tandis que les suites de chiffrement de déchiffrement RSA héritées utilisent l’option d’utilisation de clé « keyEncipherment ». En cas d’doute, les administrateurs doivent inclure les deux dans les certificats RSA destinés à HTTPS. La stratégie a été obsolète à partir de Microsoft Edge version 136, mais la vérification de clé a toujours été activée depuis Microsoft Edge version 124.