Erzwingung der Zertifikatstransparenz für eine Liste mit subjectPublicKeyInfo-Hashes deaktivieren

Hiermit wird das Erzwingen von Zertifikatstransparenz-Anforderungen für eine Liste mit subjectPublicKeyInfo-Hashes deaktiviert.

Diese Richtlinie ermöglicht es, Zertifikatstransparenz-Offenlegungsanforderungen für jene Zertifikatsketten zu deaktivieren, die Zertifikate mit einem der angegebenen subjectPublicKeyInfo-Hashes enthalten. Dadurch werden Zertifikate erlaubt, die andernfalls nicht vertrauenswürdig wären, weil sie nicht ordnungsgemäß öffentlich offengelegt wurden. Diese Zertifikate können dann weiterhin für Unternehmenshosts verwendet werden.

Damit die Erzwingung der Zertifikatstransparenz deaktiviert ist, wenn diese Richtlinie festgelegt wurde, muss eine der folgenden Bedingungen erfüllt sein:
1. Der Hash ist eines der subjectPublicKeyInfo des Serverzertifikats.
2. Der Hash gehört zu einem subjectPublicKeyInfo, das in einem CA-Zertifikat in der Zertifikatskette erscheint, dieses CA-Zertifikat wird durch die X.509v3-nameConstraints-Erweiterung beschränkt, es sind eines oder mehrere directoryName-nameConstraints in permittedSubtrees vorhanden und der directoryName enthält ein OrganizationName-Attribut.
3. Der Hash gehört zu einem subjectPublicKeyInfo, das in einem CA-Zertifikat in der Zertifikatskette erscheint, das CA-Zertifikat hat eines oder mehrere OrganizationName-Attribute im Zertifikatsinhaber und das Zertifikat des Servers enthält dieselbe Anzahl von OrganizationName-Attributen in derselben Reihenfolge und mit in jedem Byte identischen Werten.

Ein subjectPublicKeyInfo-Hash wird angegeben, indem Folgendes verkettet wird: der Hash-Algorithmusname, das Zeichen "/" sowie die Base64-Codierung dieses Hash-Algorithmus, die auf das DER-codierte subjectPublicKeyInfo des angegebenen Zertifikats angewendet wird. Diese Base64-Codierung hat dasselbe Format wie ein SPKI-Fingerabdruck gemäß Definition in RFC 7469, Abschnitt 2.4. Nicht erkannte Hash-Algorithmen werden ignoriert. Der einzige unterstützte Hash-Algorithmus ist derzeit "sha256".

Wenn diese Richtlinie nicht festgelegt ist, werden alle Zertifikate, die über die Zertifikatstransparenz offengelegt werden müssen, als nicht vertrauenswürdig behandelt, sofern sie nicht entsprechend der Zertifikatstransparenz-Richtlinie offengelegt wurden.

Beispielwert

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Unterstützt auf: Mindestens Windows 7 oder Windows Server 2008

Erzwingung der Zertifikatstransparenz für eine Liste mit subjectPublicKeyInfo-Hashes deaktivieren

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)