ローカル トラスト アンカーによって発行されたサーバー証明書の RSA キーの使用状況を確認する (廃止)
廃止: このポリシーは廃止され、Microsoft Edge バージョン 135 以降は機能しません。
サポートされているバージョン
- 123 以降の Windows と macOS では、135 まで
説明
X.509 キー使用法拡張機能は、証明書内のキーの使用方法を宣言します。 これらの手順により、意図しないコンテキストで証明書が使用されないようにします。これにより、HTTPS やその他のプロトコルに対するクロスプロトコル攻撃のクラスから保護されます。 HTTPS クライアントは、サーバー証明書が接続の TLS パラメーターと一致することを確認する必要があります。
Microsoft Edge 124 以降では、このチェックは常に有効になっています。
Microsoft Edge 123 以前には、次の動作があります。
このポリシーが [有効] に設定されている場合、Microsoft Edge はこのキー チェックを実行します。 これにより、攻撃者がブラウザーを操作して、証明書所有者が意図しなかった方法でキーを解釈する攻撃を防ぐことができます。
このポリシーが無効に設定されている場合、Microsoft Edge は、TLS 1.2 をネゴシエートし、ローカル信頼アンカーにチェーンする RSA 証明書を使用する HTTPS 接続でこのキーのチェックをスキップします。 ローカル トラスト アンカーの例としては、ポリシーによって提供されるルート証明書やユーザーがインストールしたルート証明書などがあります。 それ以外の場合は、このポリシーの設定とは無関係にチェックが実行されます。
このポリシーが構成されていない場合、Microsoft Edge はポリシーが有効になっているかのように動作します。
このポリシーは、管理者が将来のリリースの動作をプレビューするために使用できます。これにより、既定でこのチェックが有効になります。 この時点で、このポリシーは、新しい RSA キーの使用要件を満たすために証明書を更新するためにさらに時間が必要な管理者が一時的に使用できます。
このチェックに失敗したConnectionsは、エラー ERR_SSL_KEY_USAGE_INCOMPATIBLEで失敗します。 このエラーで失敗したサイトには、証明書が正しく構成されていない可能性があります。 最新のECDHE_RSA暗号スイートでは "digitalSignature" キー使用法オプションが使用され、従来の RSA 暗号化解除暗号スイートでは "keyEncipherment" キー使用法オプションが使用されます。 不明な場合、管理者は HTTPS 用の RSA 証明書に両方を含める必要があります。
このポリシーは Microsoft Edge バージョン 136 以降では廃止されましたが、キー チェックは Microsoft Edge バージョン 124 以降常に有効になっています。
サポートされている機能
- 必須にすることができるか: はい
- 推奨にすることができるか: いいえ
- 動的なポリシーの更新: はい
- プロファイルごと: いいえ
- Microsoft アカウントでサインインしているプロファイルに適用: はい
データ型
- ブール値
Windows の情報と設定
グループ ポリシー (ADMX) 情報
- GP 固有の名前: RSAKeyUsageForLocalAnchorsEnabled
- GP 名: ローカル トラスト アンカーによって発行されたサーバー証明書の RSA キーの使用状況を確認する (廃止)
- GP パス (必須): 管理用テンプレート/Microsoft Edge
- GP パス (推奨): なし
- GP ADMX ファイル名: MSEdge.admx
値の例
Enabled
レジストリの設定
- パス (必須): SOFTWARE\Policies\Microsoft\Edge
- パス (推奨): なし
- 値名: RSAKeyUsageForLocalAnchorsEnabled
- 値の種類: REG_DWORD
レジストリ値の例
0x00000001
Mac の情報と設定
- 優先キー名: RSAKeyUsageForLocalAnchorsEnabled
- サンプル値:
<true/>