リストで指定されたレガシー認証局に対して Certificate Transparency(証明書の透明性)の適用を無効にする

リストで指定されたレガシー認証局に対して、Certificate Transparency(証明書の透明性)の要件の適用を無効にします。

このポリシーを使用すると、指定された subjectPublicKeyInfo ハッシュの 1 つを使用している証明書を含む証明書チェーンに対して、Certificate Transparency(証明書の透明性)の開示要件を無効にできます。これにより、適切に公開されていないことを理由に通常であれば信頼できないものとして扱われる証明書を、企業のホストで引き続き使用できるようになります。

このポリシーを設定したときに Certificate Transparency(証明書の透明性)の適用が無効になるためには、レガシー認証局(CA)として認識されている CA 証明書に出現する subjectPublicKeyInfo のハッシュを使用していることが条件となります。レガシー CA とは、Google Chrome でサポートされているオペレーティング システムでは公的に信頼できるものとしてデフォルトで認識されているものの、Android オープンソース プロジェクトまたは Google Chrome OS では信頼されていない CA を指します。

subjectPublicKeyInfo ハッシュの構成は、まずハッシュ アルゴリズム名、次に「/」文字、その次に、指定された証明書の DER エンコード済み subjectPublicKeyInfo にこのハッシュ アルゴリズムを適用して Base64 エンコードした文字列となります。この Base64 エンコードは、RFC 7469 の 2.4 項で規定されている SPKI フィンガープリントと同じフォーマットを使用します。認識できないハッシュ アルゴリズムは無視されます。現時点でサポートされているハッシュ アルゴリズムは、「sha256」のみです。

このポリシーが未設定の場合、Certificate Transparency(証明書の透明性)により開示することが要件となっている証明書はすべて、Certificate Transparency(証明書の透明性)ポリシーに従って公開されていない場合は信頼できないものとして扱われます。

サンプル値:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==


サポートされるバージョン: Windows 7 以降および Microsoft Windows Server 2008 ファミリ以降
リストで指定されたレガシー認証局に対して Certificate Transparency(証明書の透明性)の適用を無効にする

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)