このポリシーを設定した場合、リストで指定された subjectPublicKeyInfo ハッシュに対して、Certificate Transparency(証明書の透明性)の開示要件の適用が無効になります。企業のホストでは、適切に公開されていないことを理由に通常であれば信頼できないものとして扱われる証明書を、引き続き使用できるようになります。適用を無効にするには、ハッシュが次のいずれかの条件を満たしている必要があります。
* サーバー証明書の subjectPublicKeyInfo で指定されている。
* 証明書チェーンの CA(認証局)証明書に出現する subjectPublicKeyInfo で指定されている。CA 証明書に X.509v3 nameConstraints 拡張による制約が適用され、permittedSubtrees に directoryName nameConstraints が 1 つ以上存在し、その directoryName に organizationName 属性が含まれている。* 証明書チェーン内の CA 証明書に出現する subjectPublicKeyInfo で指定されていて、その CA 証明書のサブジェクトに organizationName 属性が 1 つ以上含まれていること。さらに、サーバーの証明書にも同じ数の organizationName 属性が同じ順序で含まれ、それらの値がバイト単位で同一である。subjectPublicKeyInfo ハッシュは、ハッシュ アルゴリズム名とスラッシュに加え、指定された証明書の DER-エンコード済み subjectPublicKeyInfo に適用されているハッシュ アルゴリズムの Base64 エンコードをリンクすることで指定します。Base64 エンコードの形式は、SPKI フィンガープリントの形式に一致します。認識されるハッシュ アルゴリズムは SHA256 だけです。その他は無視されます。ポリシーが未設定のまま、Certificate Transparency(証明書の透明性)による開示を必要とする証明書が開示されていない場合、Google Chrome はその証明書を信頼しません。
サンプル値:
sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | Software\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |