设置此政策可使系统不对一系列 subjectPublicKeyInfo 哈希强制执行证书透明度披露要求。因没有恰当公开披露相关信息而不受信任的证书,企业主机也可以继续使用。若要关闭强制执行,哈希必须满足以下条件之一:
* 是服务器证书中 subjectPublicKeyInfo 的哈希。
* 是证书链中某个证书授权机构 (CA) 所颁证书内包含的 subjectPublicKeyInfo 的哈希。该 CA 证书受 X.509v3 nameConstraints 扩展规则的限制,permittedSubtrees 中有一个或多个 directoryName nameConstraints,并且 directoryName 包含 organizationName 属性。
* 是证书链中某个 CA 证书内包含的 subjectPublicKeyInfo 的哈希,该 CA 证书的证书主题包含一个或多个 organizationName 属性,服务器的证书也包含数量、顺序和值方面完全相同的 organizationName 属性。
您只需将以下各项连结起来即可指定 subjectPublicKeyInfo 哈希:哈希算法名称、"/"字符,以及相应哈希算法(对所指定证书的 DER 编码 subjectPublicKeyInfo 应用的哈希算法)的 Base64 编码。Base64 编码的格式与 SPKI 指纹的格式一致。唯一得到认可的哈希算法是 sha256,其他算法都会被忽略。
如果您不设置此政策,Google Chrome 便会将那些应按照证书透明度要求进行披露但却未予披露的证书视为不可信证书。
值示例:
sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | Software\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |