Отключить проверку сертификатов для списка хешей subjectPublicKeyInfo

Отключает принудительную проверку сертификатов для списка хешей subjectPublicKeyInfo.

Это правило позволяет отключить проверку сертификатов для цепочек сертификатов, которые содержат сертификаты с одним из указанных хешей subjectPublicKeyInfo. Настроив это правило, вы разрешите работу с не прошедшими проверку сертификатами на хостах организации.

Чтобы отключить проверку сертификатов (когда это правило включено), необходимо соблюсти одно из следующих условий:
1. Хеш принадлежит к subjectPublicKeyInfo серверного сертификата.
2. Хеш принадлежит к subjectPublicKeyInfo, который присутствует в сертификате центра сертификации (ЦС) в цепочке, где сертификат ЦС ограничен расширением X.509v3 nameConstraints, при этом один или более параметров directoryName присутствуют в nameConstraints в permittedSubtrees, а directoryName содержит атрибут organizationName.
3. Хеш принадлежит к subjectPublicKeyInfo, который присутствует в сертификате ЦС в цепочке сертификатов. Сертификат ЦС содержит один или более атрибутов organizationName в субъекте сертификата, и серверный сертификат имеет такое же количество и порядок атрибутов organizationName с одинаковыми значениями байтов.

Хеш subjectPublicKeyInfo определяется путем объединения названия алгоритма хеширования, символа "/" и кодировки алгоритма хеширования по алгоритму Base64, примененному к subjectPublicKeyInfo с расшифровкой DER указанного сертификата. Кодировка Base64 имеет тот же формат, что и SPKI Fingerprint, как указано в RFC 7469 (раздел 2.4). Нераспознанные алгоритмы хеширования игнорируются. Единственный алгоритм хеширования, поддерживаемый на текущий момент, – sha256.

Если правило не настроено, то согласно правилу проверки сертификатов любой сертификат, которому требуется пройти проверку, будет считаться ненадежным.

Пример значения:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Поддерживается: Не ниже Windows 7 или семейства Windows Server 2008

Отключить проверку сертификатов для списка хешей subjectPublicKeyInfo

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)