Description du correctif cumulatif de sécurité et de qualité pour .NET Framework 3.5 Service Pack 1 sous Windows 8.1 et Windows Server 2012 R2 daté du 9 mai 2017

Avertissement

Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous modifiez le Registre à vos risques et périls.

• L’utilisation améliorée de la clé (EKU) est décrite à la section 4.2.1.12 de la norme RFC 5280 : cette extension indique une ou plusieurs utilisations de la clé publique certifiée qui s’ajoutent ou qui remplacent les utilisations de base indiquées dans l’extension d’utilisation de la clé. Par exemple, un certificat utilisé pour authentifier un client sur un serveur doit être configuré pour l’authentification client. De même, un certificat utilisé pour authentifier un serveur doit être configuré pour l’authentification serveur.
  
  Lorsque des certificats sont utilisés à des fins d’authentification, l’authentificateur examine le certificat client et recherche l’identificateur d’objet du rôle correct dans les extensions Stratégies d’application. Par exemple, l’identificateur d’objet pour l’authentification client est 1.3.6.1.5.5.7.3.2. Lorsqu’un certificat est utilisé à des fins d’authentification du client, cet identificateur d’objet doit être présent dans les extensions EKU du certificat, sous peine d’entraîner l’échec de l’authentification. Les certificats dépourvus d’extension EKU continuent d’effectuer des authentifications correctes.
  
  Si vous ne pouvez pas accéder provisoirement à des certificats réémis correctement, vous pouvez accepter ou refuser le changement de sécurité sur toutes les opérations informatiques pour éviter tout impact sur la connectivité. Pour cela, définissez les paramètres de clé de Registre suivants en fonction de la version .NET Framework ciblée par votre application.
  
  Méthode 1 : Mise à jour de la clé de Registre (disponible pour toutes les versions)
  
  Remarque Cette entrée de Registre doit être une entrée DWORD.
  

  • Pour le processus 32 bits sur un système 32 bits ou le processus 64 bits sur un système 64 bits :
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  • Pour le processus 32 bits sur un système 64 bits :
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  Vous pouvez également refuser ce changement pour chaque application. Les options suivantes sont disponibles pour désactiver ce changement afin de garantir la compatibilité des applications.
  
  Méthode 2 : Désactivation de la stratégie pour chaque application
  
  Remarque Cette entrée de Registre doit être une entrée DWORD. La seule valeur valide est 0. Toutes les autres valeurs sont ignorées.

  • Pour le processus 32 bits sur un système 32 bits ou le processus 64 bits sur un système 64 bits :

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • Pour le processus 32 bits sur un système 64 bits :

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  Méthode 3 : Utilisation de l’API de configuration (disponible pour .NET Framework 4.6 et versions ultérieures)
  
  Depuis .NET Framework 4.6, vous pouvez modifier la configuration au niveau de l’application via un code, une configuration de l’application ou des modifications du Registre.
  
  Configuration du commutateur dans .NET Framework 4.6
  
  Remarque Les exemples suivants désactivent la fonctionnalité de sécurité.

  • Par programme
    
    En premier lieu, l’application doit exécuter le code suivant, car le gestionnaire de points de service ne s’initialise qu’une seule fois.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Configuration de l’application
    
    Pour modifier la configuration de l’application, ajoutez l’entrée suivante :
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Clé de Registre (globale pour la machine) :
    

    Emplacement de Registre : HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Type : Chaîne
    Valeur : « true »

  Remarque Par défaut, Switch.System.Net.DontCheckCertificateEKUsName = True pour toutes les applications .NET Framework 4.x exécutées sur .NET Framework 4.6 et versions ultérieures.

• Pour plus d’informations sur cette mise à jour de sécurité en ce qui concerne Windows 8.1 et Windows Server 2012 R2, consultez l’article suivant de la Base de connaissances Microsoft :

  4019114 Correctif cumulatif de sécurité et de qualité pour .NET Framework 3.5 Service Pack 1, 4.5.2, 4.6, 4.6.1 et 4.6.2 sous Windows 8.1 et Windows Server 2012 R2 daté du 9 mai 2017