对于指定的一系列旧版证书授权机构,不强制执行证书透明化要求

对于指定的一系列旧版证书授权机构,不强制执行证书透明化要求。

如果证书链中的证书含有某个指定的 subjectPublicKeyInfo 哈希,则此政策允许针对此类证书链停用证书透明化披露要求。这样一来,本应不受信任的证书(因为并未适当地公开披露)将可以继续用于企业主机。

在设置了此政策的情况下,为了不强制执行证书透明化要求,哈希必须是以下 subjectPublicKeyInfo 的哈希:被识别为旧版证书授权机构 (CA) 颁发的 CA 证书中显示的 subjectPublicKeyInfo。旧版 CA 是指 Google Chrome 支持的一种或多种操作系统默认情况下公开信任,但 Android 开源项目或 Google Chrome OS不信任的 CA。

subjectPublicKeyInfo 哈希是通过将以下各项组合在一起的方式指定的:哈希算法名称、"/"字符,以及对指定证书的 DER 编码 subjectPublicKeyInfo 应用的哈希算法的 Base64 编码。该 Base64 编码与 SPKI 指纹的格式相同(详见 RFC 7469 第 2.4 节)。系统会忽略无法识别的哈希算法。目前,"sha256"是唯一受支持的哈希算法。

如果此政策未设置,则对于任何需要通过证书透明化操作予以披露的证书,如果并未根据证书透明化政策进行披露,系统都会将其视为不可信证书。

值示例:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==


支持的平台: Microsoft Windows 7 或 Windows Server 2008 家族及以上版本
对于指定的一系列旧版证书授权机构,不强制执行证书透明化要求

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

管理模板(计算机)

管理模板(用户)