Disattiva l'applicazione di Certificate Transparency per un elenco di hash subjectPublicKeyInfo

Disattiva l'applicazione dei requisiti di Certificate Transparency per un elenco di hash subjectPublicKeyInfo.

Questa norma consente di disattivare i requisiti di divulgazione di Certificate Transparency per le catene di certificati che contengono certificati con uno degli hash subjectPublicKeyInfo specificati. Fa sì che i certificati che altrimenti sarebbero considerati non attendibili, in quanto non adeguatamente resi pubblici, continuino a essere utilizzati per gli host aziendali.

Per disattivare l'applicazione dei requisiti di Certificate Transparency quando viene impostata questa norma, deve essere soddisfatta una delle seguenti condizioni:
1. L'hash fa parte del subjectPublicKeyInfo del certificato del server.
2. L'hash fa parte di un subjectPublicKeyInfo che compare in un certificato CA nella catena di certificati; tale certificato CA è limitato dall'estensione X.509v3 nameConstraints, uno o più nameConstraints del directoryName sono presenti nel permittedSubtrees e il directoryName contiene un attributo organizationName.
3. L'hash fa parte di un subjectPublicKeyInfo che compare in un certificato CA nella catena di certificati; tale certificato possiede uno o più attributi organizationName nel Subject del certificato e il certificato del server contiene lo stesso numero di attributi organizationName nello stesso ordine e con identici valori byte per byte.

Un hash subjectPublicKeyInfo viene specificato concatenando il nome dell'algoritmo hash, il carattere "/" e la codifica Base64 dell'algoritmo hash applicato al subjectPublicKeyInfo con codifica DER del certificato specificato. La codifica Base64 è nello stesso formato di un'impronta SPKI, come stabilito nella Sezione 2.4 dell'RFC 7469. Gli algoritmi hash non riconosciuti vengono ignorati. Attualmente l'unico algoritmo hash supportato è "sha256".

Se questa norma non viene impostata, i certificati che devono essere resi pubblici tramite Certificate Transparency verranno considerati non attendibili nel caso in cui non vengano resi pubblici secondo quanto previsto dalle norme di Certificate Transparency.

Valore di esempio:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Supportata in: Almeno Windows 7 o famiglia Windows Server 2008

Disattiva l'applicazione di Certificate Transparency per un elenco di hash subjectPublicKeyInfo

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Modelli amministrativi (Computer)

Modelli amministrativi (utenti)