Вимкнути застосування перевірки сертифіката для списку хешів інформації про відкритий ключ суб'єкта

Вимикає застосування вимог щодо перевірки сертифіката для списку хешів інформації про відкритий ключ суб'єкта.

Це правило дає змогу вимкнути вимоги щодо розголошення перевірки ланцюжків сертифікатів, якщо в них є сертифікати з одним з указаних хешів інформації про відкритий ключ суб'єкта. Завдяки цьому правилу можна використовувати для хостів підприємства сертифікати, які в іншому випадку вважалися б ненадійними.

Щоб вимкнути перевірку сертифіката, коли це правило налаштовано, має бути виконано одну з цих умов:
1. Хеш містить інформацію про відкритий ключ суб'єкта сертифіката сервера.
2. Хеш містить інформацію про відкритий ключ суб'єкта, яка відображається в ланцюжку сертифікатів ЦС, сертифікат ЦС обмежується розширенням X.509v3 nameConstraints, принаймні одне розширення directoryName nameConstraints наявне в permittedSubtrees, а directoryName містить атрибут organizationName.
3. Хеш містить інформацію про відкритий ключ суб'єкта, яка відображається в ланцюжку сертифікатів ЦС, сертифікат ЦС має принаймні один атрибут organizationName у суб'єкті сертифіката, сертифікат сервера містить таку ж кількість атрибутів organizationName, вони розміщені в такому самому порядку та мають однакову кількість байтів.

Хеш інформації про відкритий ключ суб'єкта визначається через об'єднання назви алгоритму хешу, символу "/" і Base64-кодування алгоритму хешу, що застосовується до інформації про відкритий ключ суб'єкта зазначеного сертифіката з DER-кодуванням. Це кодування Base64 має той самий формат, що й відбиток SPKI, як зазначено в розділі 2.4 стандарту RFC 7469. Нерозпізнані алгоритми хешу ігноруються. Зараз підтримується лише алгоритм sha256.

Якщо це правило не налаштовано, усі сертифікати, які мають виявлятися під час перевірки, але не виявляються, вважатимуться ненадійними.

Приклад значення:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

Supported on: Microsoft Windows 7 і новіших версій

Вимкнути застосування перевірки сертифіката для списку хешів інформації про відкритий ключ суб'єкта

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

Administrative Templates (Computers)

Administrative Templates (Users)