Les extensions de certificat „ Key Usage “ et „ Extended Key Usage “ permettent de contrôler les fins auxquelles un certificat numérique peut être utilisé.
Dans l'extension de certificat „ Extended Key Usage “, les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.
Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.
Il peut y avoir ici une certaine confusion quant à la terminologie, car les Extended Key Usages sont parfois également appelés „Application Policies“ (entre autres par certutil et la boîte de dialogue du shell de certificat dans Windows). C'est pourquoi il convient de faire la distinction entre le terme „Application Policies“, qui signifie en réalité „Enhanced/Extended Key Usages“, et l'extension de certificat „Application Policies“ dans les certificats délivrés.
Contexte
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
L'extension de certificat "Application Policies est une relique propriétaire de Microsoft datant de l'époque de Windows 2000/2003.
La politique d'application est spécifique à Microsoft et est traitée un peu comme l'utilisation de clés étendues.
Using Application Policies : Clé publique | Microsoft Learn
L'interface COM correspondante est donc également IX509ExtensionMSApplicationPolicies, Le nom de l'extension est donc un sigle qui indique qu'il s'agit d'une extension propriétaire.
Le terme „Extended Key Usage“ n'est pas complètement clair. Les RFC concernées parlent d„“Extended Key Usage„, tandis que dans l'environnement PKI de Microsoft, on utilise souvent le terme “Enhanced Key Usage". Les deux termes se recoupent toutefois exactement.
Les applications qui se conforment à la norme RFC 5280 ne connaissent généralement pas cette extension de certificat et ne l'utilisent donc pas. De même, ils interrompraient le traitement du certificat si cette extension était marquée comme critique.
D'autres produits d'autorité de certification n'inscrivent pas cette extension dans les certificats délivrés, on ne peut donc pas partir du principe qu'elle est prise en charge par toutes les applications finales courantes.
L'extension de certificat conforme à la RFC est l'extension „Extended Key Usage.
Comme l'extension de certificat est marquée comme non critique dans le réglage standard, elle est ignorée par les applications qui ne la connaissent pas et ne peuvent donc pas l'interpréter. Elle n'a donc effectivement aucun effet, même si elle est présente dans un certificat.
Les systèmes Windows traitent l'extension de certificat Application Policies exactement comme l'extension Extended Key Usage.
Si un certificat a une extension contenant une politique d'application et a également une extension EKU, l'extension EKU est ignorée. Si, en revanche, un certificat ne comporte qu'une extension EKU, celle-ci est traitée comme une extension de politique d'application.
Using Application Policies : Clé publique | Microsoft Learn
L'extension „Application Policies“ comme problème de sécurité
Justin Bollinger de TrustedSec a découvert queque, pour les demandes de certificats hors ligne, il est contre Modèles de certificats de la version 1 du schéma est possible (comme pour la Extension Security Identifier), d'envoyer dans la demande de certificat n'importe quelle politique d'application, qui sera reprise telle quelle dans le certificat délivré et pourra ensuite être utilisée pour une attaque sur la structure globale d'Active Directory (ESC15).
Pour cette raison, il est judicieux de ne pas inscrire l'extension dans les certificats délivrés.
En règle générale, il est également judicieux de ne pas utiliser de modèles de certificats de la version 1, mais toujours des modèles que l'on a définis soi-même et qui proviennent des modèles de certificats des versions 2 et 3 fournis.
Supprimer l'extension „Application Policies“ des certificats émis
Par défaut, le module Windows Default Policy de l'autorité de certification est responsable de l'écriture de cette extension de certificat dans les certificats émis.
L'extension de certificat „Application Policies“ peut être désactivée sur l'autorité de certification à l'aide de la commande de ligne de commande suivante.
certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.21.10
Le service d'autorité de certification doit ensuite être redémarré pour que les modifications prennent effet.
Les certificats émis à partir de ce moment ne contiennent plus que l'extension „Extended Key Usage“, mais pas l'extension „Application Policies“.
Liens complémentaires :
Sources externes :
- Utiliser les politiques d'application (Microsoft)
- IDs d'objets associés à la cryptographie Microsoft (Microsoft, lien archive)
- Traitement de l'extension de requête dans l'Autorité de Certification Active Directory (PKI Solutions, Inc.)
Français 
Deutsch 
English
Les commentaires sont fermés.