Erzwingung der Zertifikatstransparenz für eine Liste alter Zertifizierungsstellen deaktivieren

Hiermit wird das Erzwingen von Zertifikatstransparenz-Anforderungen für eine Liste alter Zertifizierungsstellen deaktiviert.

Diese Richtlinie ermöglicht es, Zertifikatstransparenz-Offenlegungsanforderungen für jene Zertifikatsketten zu deaktivieren, die Zertifikate mit einem der angegebenen subjectPublicKeyInfo-Hashes enthalten. Dadurch werden Zertifikate erlaubt, die andernfalls nicht vertrauenswürdig wären, weil sie nicht ordnungsgemäß öffentlich offengelegt wurden. Diese Zertifikate können dann weiterhin für Unternehmenshosts verwendet werden.

Damit die Erzwingung der Zertifikatstransparenz deaktiviert ist, wenn diese Richtlinie festgelegt wurde, muss der Hash zu einem subjectPublicKeyInfo gehören, der in einem CA-Zertifikat erscheint, das als alte Zertifizierungsstelle anerkannt ist. Eine alte Zertifizierungsstelle ist eine Zertifizierungsstelle, der standardmäßig von einem oder mehreren Betriebssystemen öffentlich vertraut wurde, die von Google Chrome unterstützt werden, der aber nicht vom Open-Source-Projekt von Android oder von Google Chrome OS vertraut wird.

Ein subjectPublicKeyInfo-Hash wird angegeben, indem Folgendes verkettet wird: der Hash-Algorithmusname, das Zeichen "/" sowie die Base64-Codierung dieses Hash-Algorithmus, die auf das DER-codierte subjectPublicKeyInfo des angegebenen Zertifikats angewendet wird. Diese Base64-Codierung hat dasselbe Format wie ein SPKI-Fingerabdruck gemäß Definition in RFC 7469, Abschnitt 2.4. Nicht erkannte Hash-Algorithmen werden ignoriert. Der einzige unterstützte Hash-Algorithmus ist derzeit "sha256".

Wenn diese Richtlinie nicht festgelegt ist, werden alle Zertifikate, die über die Zertifikatstransparenz offengelegt werden müssen, als nicht vertrauenswürdig behandelt, sofern sie nicht entsprechend der Zertifikatstransparenz-Richtlinie offengelegt wurden.

Beispielwert

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==


Unterstützt auf: Mindestens Windows 7 oder Windows Server 2008
Erzwingung der Zertifikatstransparenz für eine Liste alter Zertifizierungsstellen deaktivieren

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)